BEGRUNDELSE

1.           BAGGRUND FOR FORSLAGET

Denne begrundelse redegør for et forslag til en lovramme, der har til formål at styrke tilliden til elektroniske transaktioner på det indre marked.

Det er afgørende for den økonomiske udvikling, at der skabes tillid til onlineverdenen. Hvis tilliden mangler, vil forbrugere, virksomheder og administrationer tøve med at gennemføre elektroniske transaktioner og benytte nye tjenester.

Den digitale dagsorden for Europa[1] udpeger de forhindringer, der vanskeliggør den digitale udvikling i Europa og foreslår lovgivning om e-signaturer (nøgletiltag 3) samt gensidig anerkendelse af e-identifikation og autentifikation (nøgletiltag 16), så der fastlægges et klart retsgrundlag med det formål at eliminere opsplitning og mangel på interoperabilitet, fremme digitalt borgerskab og forhindre onlinekriminalitet. Lovgivning om gensidig anerkendelse af elektronisk identifikation og autentifikation på EU-plan og revision af direktivet om digitale signaturer er også blandt nøgletiltagene i akten for det indre marked[2] med henblik på at virkeliggøre det digitale indre marked. Køreplanen for stabilitet og vækst[3] understreger vigtigheden af at udvikle den digitale økonomi ved hjælp af den fremtidige lovramme, der skal sikre gensidig anerkendelse og accept af elektronisk identifikation og autentifikation på tværs af grænserne.

Den foreslåede lovramme, der består af en forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked, skal muliggøre sikre og smidige elektroniske interaktioner mellem virksomheder, borgere og offentlige myndigheder og således øge effektiviteten i offentlige og private onlinetjenester, e-business og elektroniske transaktioner i EU.

Den eksisterende EU-lovgivning, nemlig direktiv 1999/93/EF om en fællesskabsramme for elektroniske signaturer[4] dækker udelukkende elektroniske signaturer. Der er ingen omfattende sektor- og grænseoverskridende EU-ramme for sikre, pålidelige og brugervenlige elektroniske transaktioner, der omfatter elektronisk identifikation, autentifikation og signaturer.

Formålet er at udvide den eksisterende lovgivning til at omfatte gensidig anerkendelse og accept på EU-plan af anmeldte elektroniske identifikationsordninger og andre relevante elektroniske tillidstjenester.

2.           RESULTATER AF HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

Dette initiativ er resultatet af omfattende høringer vedrørende en revision af den nuværende lovramme for elektroniske signaturer, hvor Kommissionen har indsamlet tilbagemeldinger fra medlemsstaterne, Europa-Parlamentet og andre interesseparter[5]. Et testpanel bestående af små og mellemstore virksomheder deltog i en offentlig onlinehøring for at påpege små og mellemstore virksomheders særlige behov, og der er gennemført andre målrettede høringer af interesseparterne[6] [7]. Kommissionen har ligeledes iværksat undersøgelser om elektronisk identifikation, autentifikation, elektroniske signaturer og tilhørende tillidstjenester (eIAS).

Høringerne har gjort det klart, at langt hovedparten af interesseparterne er enige i, at der er behov for at revidere den nuværende ramme for at udfylde hullerne i direktivet om elektroniske signaturer. Parterne mener, at man dermed bedre vil kunne løfte de udfordringer, som følger med udviklingen af nye teknologier (især online- og mobiladgang) samt øget globalisering, samtidig med at lovrammen forbliver teknologisk neutral.

Kommissionen har i overensstemmelse med sin strategi for bedre regulering gennemført en konsekvensanalyse af de forskellige politiske løsningsmuligheder. Tre mulige løsninger er blevet vurderet med hensyn til 1) den nye lovrammes omfang, 2) det retlige instrument og 3) den nødvendige grad af tilsyn[8]. Den foretrukne løsningsmulighed består i at øge retssikkerheden, styrke koordineringen af det nationale tilsyn, sikre gensidig anerkendelse og accept af elektroniske identifikationsordninger samt indarbejde vigtige relaterede tillidstjenester. Konsekvensanalysen konkluderer, at disse tiltag vil føre til væsentlige forbedringer af retssikkerheden, tilliden og sikkerheden i forbindelse med grænseoverskridende elektroniske transaktioner, hvilket vil resultere i et mindre opsplittet marked.

3.           JURIDISKE ASPEKTER AF FORSLAGET

3.1 Retsgrundlag

Dette forslag er baseret på TEUF artikel 114, der omhandler vedtagelse af bestemmelser, der skal fjerne hindringer for det indre markeds funktion. Borgere, virksomheder og administrationer vil kunne drage nytte af den gensidige anerkendelse og accept af elektronisk identifikation, autentifikation og tillidstjenester på tværs af grænserne, der er nødvendige for at få adgang til og gennemføre elektroniske procedurer eller transaktioner.

En forordning anses for at være det mest hensigtsmæssige instrument. En forordnings direkte anvendelse i medfør af TEUF artikel 288 vil    mindske den lovgivningsmæssige opsplitning og yde større retssikkerhed ved hjælp af et harmoniseret sæt kernebestemmelser, der bidrager til det indre markeds funktion.

3.2 Nærhedsprincippet og proportionalitetsprincippet

For at det skal være begrundet at indføre foranstaltninger på EU-niveau, skal nærhedsprincippet overholdes:

a) Problemets tværnationale karakter (nødvendighedstest)

eIAS-tjenesternes grænseoverskridende karakter kræver handling på EU-niveau. En national indsats alene vil hverken være tilstrækkelig til at nå de specifikke mål eller målene i Europa 2020-strategien[9]. Derimod viser erfaringen, at nationale tiltag faktisk har skabt hindringer for interoperabilitet på EU-plan inden for elektroniske signaturer, og at disse tiltag i øjeblikket har samme indflydelse på elektronisk identifikation, elektronisk autentifikation samt tilhørende tillidstjenester. Derfor er det nødvendigt, at EU skaber en gunstig ramme til håndtering af grænseoverskridende interoperabilitet og for at sikre koordinering af nationale tilsynsordninger. Elektronisk identifikation kan dog ikke håndteres på samme generiske vis i forordningsforslaget som de andre elektroniske tillidstjenester, fordi udstedelse af identifikationsmidler er et nationalt kompetenceområde. Derfor fokuserer forslaget udelukkende på de grænseoverskridende aspekter ved elektronisk identifikation.

Forordningsforslaget skaber lige vilkår for udbydere af tillidstjenester, hvor de nuværende forskelle mellem de nationale lovgivninger ofte fører til retsusikkerhed og en yderligere byrde. Retssikkerheden styrkes betydeligt, ved at medlemsstaterne pålægges klare forpligtelser til at acceptere kvalificerede tillidstjenester, og dette vil skabe et yderligere incitament for virksomhederne til at udbyde tjenester på tværs af grænserne. For eksempel vil en virksomhed kunne deltage elektronisk i et offentligt udbud lanceret af myndighederne i en anden medlemsstat, uden at dens elektroniske signatur bliver blokeret på grund af specifikke nationale krav og interoperabilitetsproblemer. På samme måde vil en virksomhed have mulighed for at underskrive kontrakter elektronisk med en samarbejdspartner i en anden medlemsstat uden at skulle frygte anderledes retlige krav til tillidstjenester såsom elektroniske segl, elektroniske dokumenter eller tidsstempling. Ligeledes vil påkrav, der sendes fra en medlemsstat til en anden, kunne leveres med sikkerhed for deres retsgyldighed i begge medlemsstater. Endelig vil handel på nettet være mere sikker, når kunderne har mulighed for at sikre sig, at de rent faktisk befinder sig på den valgte butiks websted og ikke et websted, der muligvis er en forfalskning.

Gensidigt anerkendte elektroniske identifikationsmidler og bredt accepterede elektroniske signaturer vil gøre det lettere at levere en lang række tjenester på tværs af grænserne på det indre marked og sætte virksomhederne i stand til at udbyde deres ydelser på tværs af grænserne uden at skulle overvinde diverse hindringer i kontakten med de offentlige myndigheder. I praksis vil dette betyde forbedret effektivitet både for virksomheder og borgere, når de skal overholde de administrative formaliteter. Man vil for eksempel kunne give en studerende mulighed for at indskrive sig på et universitet i udlandet, en borger vil kunne udfylde sin selvangivelse online i en anden medlemsstat og en patient vil kunne få adgang til sin patientjournal på nettet. Hvis der ikke findes sådanne elektroniske identifikationsmidler, vil en læge ikke kunne få adgang til de medicinske oplysninger, der er nødvendige for at behandle en patient, og de laboratorie- og lægeundersøgelser, som patienten har gennemgået, må gentages.

b) Merværdi (effektivitetstest)

I øjeblikket når man ikke de ovennævnte mål ved hjælp af frivillig koordinering mellem medlemsstaterne, og det er heller ikke sandsynligt, at dette vil ske i fremtiden. Denne situation fører til dobbeltarbejde, fastsættelse af forskellige standarder, tværnationale kendetegn ved ikt-skabte afsmitningseffekter samt administrativ kompleksitet ved at gennemføre koordinering ved hjælp af bilaterale og multilaterale aftaler.

Derudover kræver behovet for at løse problemer, som f.eks. a) mangel på retssikkerhed, der skyldes forskelligartede bestemmelser, som har rod i divergerende fortolkninger af direktivet om digitale signaturer og b) mangel på interoperabilitet i de digitale signatursystemer, der findes på nationalt niveau på grund af den uensartede anvendelse af tekniske standarder, at man koordinerer på tværs af medlemsstaterne, hvilket kan foregå mere effektivt på EU-plan.

3.3 Detaljeret gennemgang af forslaget

3.3.1      KAPITEL I - GENERELLE BESTEMMELSER

Artikel 1 fastsætter forordningens genstand.

I artikel 2 fastsættes forordningens materielle anvendelsesområde.

Artikel 3 indeholder definitioner af udtryk, der anvendes i forordningen. Nogle definitioner er overtaget fra direktiv 1999/93/EF, mens andre er ændret og suppleres af yderligere elementer, og endnu andre er nye.

Artikel 4 fastsætter principper vedrørende det indre marked, for så vidt angår forordningens geografiske anvendelsesområde. Det fastsættes udtrykkeligt, at der ikke må indføres begrænsninger for friheden til at udbyde tjenesteydelser og for produkternes frie bevægelighed.

3.3.2      KAPITEL II – ELEKTRONISK IDENTIFIKATION

Artikel 5 indeholder bestemmelser om gensidig anerkendelse og accept af elektroniske identifikationsmidler, der er omfattet af en ordning, som er anmeldt til Kommissionen på betingelserne i forordningen. De fleste af EU's medlemsstater har indført en eller anden form for elektronisk identifikationssystem. Systemerne varierer dog på mange punkter. Manglen på en fælles retlig ramme, der kræver at alle medlemsstater anerkender og accepterer elektroniske identifikationsmidler, der er udstedt i en anden medlemsstat, med henblik på adgang til onlinetjenester samt den utilstrækkelige grænseoverskridende interoperabilitet mellem nationale elektroniske identifikationsmidler, skaber barrierer, der forhindrer borgere og virksomheder i at drage fuld nytte af det digitale indre marked. Den gensidige anerkendelse og accept af ethvert elektronisk identifikationsmiddel, der er omfattet af en anmeldt elektronisk identifikationsordning i henhold til denne forordning, fjerner disse retlige forhindringer.

Forordningen forpligter ikke medlemsstaterne til at indføre eller anmelde elektroniske identifikationsordninger, men de skal anerkende og acceptere anmeldte elektroniske identifikationsordninger for de onlinetjenester, hvor elektronisk identifikation er nødvendig for at få adgang på nationalt plan. Den potentielle forøgelse af de stordriftsfordele, der skabes gennem grænseoverskridende anvendelse af anmeldte elektroniske identifikationsmidler og autentifikationssystemer vil muligvis tilskynde medlemsstaterne til at anmelde deres elektroniske identifikationsordninger. Artikel 6 indeholder de fem betingelser for anmeldelse af elektroniske identifikationsordninger:

Medlemsstaterne kan anmelde de elektroniske identifikationsordninger, de accepterer under deres jurisdiktion i de tilfælde, hvor elektronisk identifikation er påkrævet ved brug af offentlige tjenester. Et yderligere krav er, at de respektive elektroniske identifikationsmidler skal udstedes af, på vegne af, eller som et minimum under ansvar af den medlemsstat, der har anmeldt ordningen.

Medlemsstaterne skal sikre, at der er en utvetydig forbindelse mellem de elektroniske identifikationsdata og den involverede person. Denne forpligtelse indebærer ikke, at en person ikke kan have flere elektroniske identifikationsmidler, men disse skal alle være knyttet til den samme person.

En elektronisk identifikations driftsikkerhed afhænger af de tilstedeværende autentifikationsmidler (f.eks. muligheden for at verificere validiteten af de elektroniske identifikationsdata). Forordningen forpligter de anmeldende medlemsstater til at tilbyde gratis onlineautentifikation til tredjemand. Muligheden for autentifikation skal være til rådighed til enhver tid. De parter, der er afhængige af autentifikationen, kan ikke pålægges specifikke tekniske krav i form af krav til hardware eller software. Denne bestemmelse gælder dog ikke for eventuelle krav, der stilles til brugerne (indehaverne) af det elektroniske identifikationsmiddel, som er teknisk nødvendige for anvendelsen af det elektroniske identifikationsmiddel, f.eks. kortlæsere.

Medlemsstaterne skal påtage sig ansvaret for den utvetydige forbindelse (dvs. at de identifikationsdata, der er knyttet til en person, ikke knyttes til nogen anden person) og autentifikationsmuligheden (dvs. muligheden for at kontrollere validiteten af de elektroniske identifikationsdata). Medlemsstaternes ansvar omfatter ikke andre aspekter af identifikationsprocessen eller nogen form for transaktion, der kræver identifikation.

Artikel 7 indeholder regler vedrørende anmeldelse af elektroniske identifikationsordninger til Kommissionen.

Formålet med artikel 8 er at sikre teknisk interoperabilitet mellem de anmeldte identifikationsordninger ved hjælp af koordinering, herunder gennem delegerede retsakter.

3.3.3      KAPITEL III – TILLIDSTJENESTER

3.3.3.1 Afdeling 1 – Almindelige bestemmelser

Artikel 9 indeholder principperne vedrørende det ansvar, der påhviler både kvalificerede og ikke-kvalificerede tillidstjenesteydere. Den bygger på artikel 6 i direktiv 1999/93/EF og udvider retten til kompensation for skader, der skyldes en forsømmelig tillidstjenesteyders manglende overholdelse af god sikkerhedspraksis, som resulterer i et brud på sikkerheden med væsentlig indvirkning på tjenesten.

Artikel 10 beskriver mekanismen for anerkendelse og accept af kvalificerede tillidstjenester, hvor udbyderen er etableret i et tredjeland. Den bygger på artikel 7 i direktiv 1999/93/EF, men bevarer udelukkende den eneste mulighed, der er praktisk gennemførlig, nemlig tilladelse af en sådan form for anerkendelse under en international aftale mellem EU og tredjelande eller internationale organisationer.

Artikel 11 opstiller principper for databeskyttelse og minimering af indsamlingen af personoplysninger. Den bygger på artikel 8 i direktiv 1999/93/EF.

Artikel 12 sikrer, at tillidstjenester er tilgængelige for mennesker med handicap.

Afdeling 2 – Tilsyn

Artikel 13 forpligter medlemsstaterne til at etablere tilsynsorganer og er baseret direktiv 1999/93/EF, artikel 3, stk. 3. Artiklen klarlægger og udvider tilsynsorganernes opgaver, både i forhold til tillidstjenesteudbydere og kvalificerede tillidstjenesteudbydere.

Artikel 14 indfører en eksplicit ordning for gensidig bistand mellem tilsynsorganerne i medlemsstaterne med det formål at lette det grænseoverskridende tilsyn med tillidstjenesteydere. Den indfører regler om fælles foranstaltninger samt tilsynsorganernes ret til at deltage i sådanne foranstaltninger .

Artikel 15 indfører en forpligtelse for både kvalificerede og ikke-kvalificerede tillidstjenesteydere til at indføre relevante tekniske og organisatoriske foranstaltninger vedrørende sikkerheden i forbindelse med deres aktiviteter. Desuden skal de kompetente tilsynsorganer og andre relevante myndigheder informeres om eventuelle brud på sikkerheden. Disse skal, hvis dette er relevant, derefter informere tilsynsmyndighederne i de andre medlemsstater samt, enten direkte eller via tillidstjenesteyderen, informere offentligheden.

Artikel 16 opstiller betingelser for tilsynet med kvalificerede tillidstjenesteydere, og de kvalificerede tillidstjenester, de udbyder. Den forpligter de kvalificerede tillidstjenesteydere til årligt at lade sig kontrollere af et anerkendt uafhængigt organ for derigennem at kunne bekræfte over for tilsynsmyndigheden, at de opfylder forpligtelserne i forordningen. Artikel 16, stk. 2, giver ydermere tilsynsorganet ret til til enhver tid at gennemføre kontrol på stedet af de kvalificerede tillidstjenesteydere. Tilsynsorganet har ligeledes kompetence til at udstede bindende instrukser til de kvalificerede tillidstjenesteydere om på passende vis at afhjælpe eventuelle mangler i overholdelsen af en forpligtelse, som er konstateret ved en sikkerhedskontrol.

Artikel 17 omhandler de opgaver, som en tilsynsmyndighed udfører på foranledning af en tillidstjenesteyder, der ønsker at iværksætte en kvalificeret tillidstjeneste.

Artikel 18 omhandler etableringen af positivlister[10], der indeholder oplysninger om kvalificerede tillidstjenesteydere, der er underlagt tilsyn, samt de kvalificerede tjenester, de tilbyder. Disse oplysninger skal gøres offentligt tilgængelige via en fælles skabelon for at lette den automatiske anvendelse af oplysningerne og give en passende detaljeringsgrad.

Artikel 19 opstiller de krav, som de kvalificerede tjenesteydere skal overholde for at blive anerkendt som sådan. Den bygger på bilag II i direktiv 1999/93/EF.

3.3.3.3. Afdeling 3 – Elektronisk signatur

Artikel 20 fastlægger regler for retsvirkningen af fysiske personers elektroniske signaturer. Bestemmelserne tydeliggør og udvider artikel 5 i direktiv 1999/93/EF og indfører en eksplicit forpligtelse om at tillægge kvalificerede elektroniske signaturer samme retsvirkning som håndskrevne signaturer. Medlemsstaterne skal sikre grænseoverskridende accept af elektroniske signaturer, der bruges til at få adgang til offentlige tjenester, og de må ikke indføre yderligere krav, der kunne resultere i hindringer for anvendelsen af sådanne signaturer.

Artikel 21 opstiller krav til certifikater for kvalificerede signaturer. Den tydeliggør bilag I i direktiv 1999/93/EF og fjerner bestemmelser, der ikke fungerede i praksis (f.eks. begrænsning af transaktionsværdien).

Artikel 22 opstiller krav til kvalificerede systemer til generering af elektroniske signaturer. Den klarlægger kravene til sikre signaturgenereringssystemer i medfør af direktiv 1999/93/EF, artikel 3 stk. 5, som nu i medfør af denne forordning skal anses for at være kvalificerede signaturgenereringssystemer. Den gør det ligeledes klart, at et signaturgenereringssystem kan være langt mere end bare et system, der indeholder signaturgenereringsdata. Kommissionen kan også udfærdige en liste over referencenumre på standarder for sikkerhedskrav til disse systemer.

Artikel 23, der bygger på direktiv 1999/93/EF, artikel 3, stk, 4, indfører begrebet certificering af kvalificerede elektroniske signatursystemer med det formål at fastsætte disses overensstemmelse med sikkerhedskravene i bilag II. Disse systemer skal anerkendes af samtlige medlemsstater som værende i overensstemmelse med de krav, der anvendes, når et certificeringsorgan, der er udpeget af en medlemsstat, udfører en certificeringsprocedure. Kommissionen offentliggør en liste over disse certificerede systemer i medfør af artikel 24. Kommissionen kan også udfærdige en liste over referencenumre på standarder for sikkerhedsvurdering af informationsteknologiprodukter som anført i artikel 23, stk. 1.

Artikel 24 vedrører Kommissionens offentliggørelse af en liste over kvalificerede elektroniske signaturgenereringssystemer, efter at medlemsstaterne har meddelt, at systemerne er overensstemmelse med kravene.

Artikel 25 bygger på bilag IV i direktiv 1999/93/EF, og fastsætter bindende krav vedrørende validering af kvalificerede elektroniske signaturer med det formål at øge retssikkerheden ved en sådan validering.

Artikel 26 opstiller krav til kvalificerede valideringstjenester

Artikel 27 opstiller krav til den langsigtede bevaring af kvalificerede elektroniske signaturer. Dette er muligt, fordi man anvender procedurer og teknikker, der forlænger pålideligheden af de kvalificerede elektroniske signaturvalideringsdata ud over perioden for deres teknologiske gyldighed, hvor det kan være let for it-kriminelle at forfalske dem.

3.3.3.4 Afdeling 4, Elektronisk segl

Artikel 28 vedrører retsvirkningen af juridiske personers elektroniske segl. Med hensyn til et kvalificeret elektronisk segl gælder der efter loven en specifik formodning om, at seglet giver sikkerhed for oprindelsen og integriteten af de elektroniske dokumenter, det er knyttet til.

Artikel 29 opstiller krav til kvalificerede certifikater for elektroniske segl.

Artikel 30 opstiller krav til certificering og offentliggørelse af kvalificerede systemer til generering af elektroniske segl.

Artikel 31 opstiller krav til validering og bevaring af kvalificerede elektroniske segl.

3.3.3.5 Afdeling 5 – Elektronisk tidsstempel

Artikel 32 vedrører retsvirkningen af elektroniske tidsstempler. Med hensyn til et kvalificeret elektronisk tidsstempel gælder der efter loven en formodning om, at det giver sikkerhed for tidspunktet.

Artikel 33 opstiller krav til kvalificerede elektroniske tidsstempler.

3.3.3.6 Afdeling 6, Elektroniske dokumenter

Artikel 34 vedrører retsvirkningerne og betingelserne for accept af elektroniske dokumenter. For ethvert elektronisk dokument, der er underskrevet med en kvalificeret elektronisk signatur eller som bærer et kvalificeret elektronisk segl gælder der efter loven en specifik formodning om integritet og autenticitet. Hvad angår accept af elektroniske dokumenter, når der skal forelægges et originaldokument eller en bekræftet genpart som forudsætning for, at der kan ydes en tjeneste, der tilbydes af en offentlig organisation, skal som minimum elektroniske dokumenter, der er udstedt af personer med kompetence hertil, og som anses for originaler eller bekræftede genparter i henhold til national ret i oprindelsesmedlemsstaten, accepteres i andre medlemsstater, uden at der stilles yderligere krav.

3.3.3.7 Afdeling 7 – Elektroniske leveringstjenester

Artikel 35 omhandler retsvirkningerne af data, der sendes eller modtages via en elektronisk leveringstjeneste. For kvalificerede elektroniske leveringstjenester gælder der efter loven en specifik formodning om integriteten af de data, der sendes og modtages samt nøjagtigheden af tidspunktet for forsendelsen eller modtagelsen af dataene. Artikel 35 ligeledes gensidig anerkendelse af kvalificerede elektroniske leveringstjenester på EU-plan.

Artikel 36 opstiller kravene til kvalificerede elektroniske leveringstjenester.

3.3.3.8 Afdeling 8 - Webstedsautentifikation

Formålet med denne afdeling er at sikre garanti for et websteds autenticitet hvad angår webstedets ejer.

Artikel 37 opstiller kravene til kvalificerede certifikater for webstedsautentifikation, som kan anvendes til at garantere et websteds autenticitet. Et kvalificeret certifikat for webstedsautentifikation skal indeholde et minimum af pålidelige oplysninger om webstedet og om ejerens juridiske status.

3.3.4      KAPITEL IV – DELEGEREDE RETSAKTER

Artikel 38 indeholder standardbestemmelserne om udøvelse af delegerede beføjelser i overensstemmelse med artikel 290 i TEUF (delegerede retsakter). Dette giver lovgiveren mulighed for til at tillægge Kommissionen beføjelser til at vedtage almengyldige ikke-lovgivningsmæssige retsakter, der udbygger eller ændrer visse ikke-væsentlige bestemmelser i en lovgivningsmæssig retsakt.

3.3.5      KAPITEL V­ – GENNEMFØRELSESRETSAKTER

Artikel 39 indeholder bestemmelser om den udvalgsprocedure, der skal gennemføres for at tillægge Kommissionen gennemførelsesbeføjelser, når ensartede betingelser for gennemførelse af EU's juridisk bindende retsakter er nødvendige i henhold til artikel 291 i TEUF. Her finder undersøgelsesproceduren anvendelse.

3.3.6      KAPITEL VI­ – AFSLUTTENDE BESTEMMELSER

I artikel 40 forpligtes Kommissionen til at evaluere forordningen og indrapportere resultaterne.

Artikel 41 ophæver direktiv 1999/93/EF og sikrer en smidig overgang fra den nuværende elektroniske signaturinfrastruktur til de nye krav, der er anført i denne forordning.

Artikel 42 fastsætter datoen for forordningens ikrafttrædelse.

4.           VIRKNINGER FOR BUDGETTET

Virkningerne af forslaget for EU-budgettet vedrører de opgaver, der tildeles Kommissionen som anført i den finansieringsoversigt, der er vedlagt dette forslag.

Forslaget har ingen indvirkning på de operationelle udgifter.

Finansieringsoversigten, der er knyttet som bilag til dette forordningsforslag, dækker forordningsforslagets indvirkning på budgettet.

2012/0146 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg[11],

efter høring af Den Europæiske Tilsynsførende for Databeskyttelse[12],

efter den almindelige lovgivningsprocedure og

ud fra følgende betragtninger:

(1)       Det er afgørende for den økonomiske udvikling, at der skabes tillid til onlineverdenen. Hvis tilliden mangler, vil forbrugere, virksomheder og administrationer tøve med at gennemføre transaktioner elektronisk og benytte nye tjenester.

(2)       Nærværende forordning har til formål at styrke tilliden til elektroniske transaktioner på det indre marked ved at skabe grundlag for sikre og smidige elektroniske transaktioner mellem virksomheder, borgere og offentlige myndigheder og derved øge effektiviteten i de offentlige og private onlinetjenester, elektronisk forretningsførelse og elektronisk handel i Unionen.

(3)       Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer[13] dækker primært elektroniske signaturer uden at skabe en omfattende ramme for sikre, pålidelige og brugervenlige elektroniske transaktioner på tværs af landegrænser og sektorer. Nærværende forordning styrker og udvider dette direktivs bestemmelser.

(4)       I den digitale dagsorden for Europa[14] påpeger Kommissionen, at opsplitningen af det indre marked, manglende interoperabilitet og stigende internetkriminalitet er alvorlige hindringer for en positiv udvikling af den digitale økonomi. I sin rapport om unionsborgerskab fra 2010 fremhæver Kommissionen endvidere behovet for at løse de væsentligste problemer, der forhindrer Europas borgere i at nyde fordelene ved et digitalt indre marked og digitale tjenesteydelser på tværs af landegrænserne[15].

(5)       Det Europæiske Råd har opfordret Kommissionen til at skabe et digitalt indre marked inden 2015[16] for at gøre hurtige fremskridt på nøgleområderne i den digitale økonomi og fremme et fuldt integreret digitalt indre marked[17] ved at befordre brug af onlinetjenester på tværs af grænserne og lægge særlig vægt på at lette sikker elektronisk identifikation og autentifikation.

(6)       Rådet har opfordret Kommissionen til at bidrage til det digitale indre marked ved at skabe passende vilkår for gensidig anerkendelse af centrale mulighedsskabende teknologier på tværs af grænserne, såsom elektronisk identifikation, elektroniske dokumenter, elektroniske signaturer og elektroniske leveringstjenester samt for interoperable e-forvaltningstjenester i hele EU[18].

(7)       Europa-Parlamentet har understreget betydningen af sikkerhed i forbindelse med elektroniske tjenester, navnlig elektroniske signaturer, samt af behovet for at etablere Public Key Infrastructure (PKI) på fælleseuropæisk plan, og det har opfordret Kommissionen til at etablere en gateway for europæiske valideringsmyndigheder for at sikre elektroniske signaturers grænseoverskridende interoperabilitet og øge sikkerheden for transaktioner, som foretages over internettet[19].

(8)       Ifølge Europa-Parlamentets og Rådets direktiv 2006/123/EF af 12. december 2006 om tjenesteydelser i det indre marked[20] skal medlemsstaterne oprette "kvikskranker" for at sikre, at samtlige procedurer og formaliteter i forbindelse med adgangen til at optage og udøve servicevirksomhed kan afvikles uden besvær, på afstand og ad elektronisk vej via den berørte kvikskranke og de kompetente myndigheder. Mange af de onlinetjenester, der er tilgængelige via kvikskranker, kræver elektronisk identifikation, autentifikation og signatur.

(9)       I de fleste tilfælde kan tjenesteydere fra andre medlemsstater ikke bruge deres elektroniske id til at få adgang til disse tjenester, fordi de nationale elektroniske identifikationsordninger i deres eget land ikke anerkendes i andre medlemsstater. Denne elektroniske barriere udelukker tjenesteyderne fra at høste det fulde udbytte af det indre marked. Gensidigt anerkendte og accepterede elektroniske identifikationsmidler vil gøre det lettere at levere en lang række tjenester på tværs af grænserne på det indre marked og sætte virksomhederne i stand til at udbyde deres tjenester på tværs af grænserne uden at skulle overvinde en diverse hindringer i kontakten med de offentlige myndigheder.

(10)     Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser[21] støtter etableringen af et netværk mellem de nationale myndigheder, der er ansvarlige for e-sundhed. For at øge sikkerheden og kontinuiteten i forbindelse med grænseoverskridende sundhedsydelser skal netværket udarbejde retningslinjer for adgang til elektroniske sundhedsoplysninger og –ydelser på tværs af grænserne og blandt andet støtte "fælles identifikations- og autentifikationsforanstaltninger for at gøre det lettere at overføre data ved grænseoverskridende sundhedsydelser". Gensidig anerkendelse og accept af elektronisk identifikation og autentifikation er afgørende for, at Europas borgere reelt kan nyde godt af sundhedsydelser på tværs af grænserne. Når borgerne tager til udlandet for at få lægebehandling, skal deres patientjournaler være tilgængelige i det land, hvor de skal behandles. Dette kræver en solid og sikker ramme for elektronisk identifikation, som de berørte parter har tillid til.

(11)     Et af formålene med denne forordning er at fjerne de eksisterende hindringer for grænseoverskridende brug af elektroniske identifikationsmidler, der benyttes i medlemsstaterne - som minimum de midler, der bruges til at få adgang til offentlige tjenester. Det er ikke hensigten at gribe ind i de elektroniske identitetsforvaltningssystemer og dermed forbundne infrastrukturer, der er etableret i medlemsstaterne. Målet er at sørge for, at der findes sikre elektroniske identifikations- og autentifikationssystemer, der gør det muligt at få adgang til de grænseoverskridende onlinetjenester, som medlemsstaterne tilbyder.

(12)     Medlemsstaterne bør fortsat frit kunne anvende eller indføre midler til elektronisk identifikation med henblik på adgang til onlinetjenester. De bør også selv kunne bestemme, om den private sektor skal være med til at levere disse midler. Medlemsstaterne bør ikke være forpligtet til at anmelde deres elektroniske identifikationsordninger. De bør selv kunne vælge, om de vil anmelde alle eller nogle af de elektroniske identifikationsordninger, der anvendes på nationalt plan til at få adgang til offentlige onlinetjenester eller specifikke tjenester, eller om de helt vil undlade at anmelde nogen ordninger.

(13)     Forordningen bør indeholde visse bestemmelser om, hvilke elektroniske identifikationsmidler der skal accepteres, og hvordan ordningerne bør anmeldes. Bestemmelserne bør hjælpe medlemsstaterne til at opbygge den nødvendige tillid til hinandens elektroniske identifikationsordninger og til gensidigt at anerkende og acceptere elektroniske identifikationsmidler, der er omfattet af de anmeldte ordninger. Princippet om gensidig anerkendelse og accept bør følges, hvis den medlemsstat, der anmelder en ordning, opfylder anmeldelsesbetingelserne, og hvis anmeldelsen har været offentliggjort i Den Europæiske Unions Tidende. Dog bør adgangen til disse onlinetjenester og den endelige levering af tjenesterne til parter, der anmoder herom, afhænge nøje af retten til at modtage sådanne tjenester i henhold til betingelserne i den nationale lovgivning.

(14)     Det bør står medlemsstaterne frit for at involvere den private sektor i udstedelsen af elektroniske identifikationsmidler og at tillade den private sektor at anvende elektroniske identifikationsmidler, der er omfattet af en anmeldt ordning, til identifikationsformål, når dette er nødvendigt for at få adgang til onlinetjenester eller elektroniske transaktioner. Muligheden for at anvende sådanne elektroniske identifikationsmidler vil betyde, at private virksomheder kan benytte sig af elektronisk identifikation og autentifikation, der allerede anvendes i vid udstrækning i mange medlemsstater, i det mindste til offentlige tjenester, og gøre det lettere for virksomhederne og borgerne at få adgang til deres onlinetjenester på tværs af grænserne. For at gøre det lettere for den private sektor at bruge sådanne elektroniske identifikationsmidler på tværs af grænserne bør den autentifikationsmulighed, som medlemsstaterne tilbyder, stilles til rådighed for alle modtagerparter uden forskelsbehandling mellem den offentlige og den private sektor.

(15)     Grænseoverskridende brug af elektroniske identifikationsmidler ifølge en anmeldt ordning forudsætter, at medlemsstaterne samarbejder om at skabe teknisk interoperabilitet. Dette udelukker, at der gælder specifikke nationale tekniske regler, der for eksempel kræver, at parter fra andre lande anskaffer bestemt hardware eller software til verificering og validering af den anmeldte elektroniske identifikation. På den anden side er tekniske krav over for brugerne, der hidrører fra de iboende specifikationer for den type token, der anvendes (f.eks. smartkort) uundgåelige.

(16)     Samarbejdet mellem medlemsstaterne bør sigte mod at skabe teknisk interoperabilitet mellem de anmeldte elektroniske identifikationsordninger for at bidrage til et højt niveau af tillid og sikkerhed, der står i et passende forhold til risikoen. For at fremme samarbejdet bør medlemsstaterne udveksle information og bedste praksis med henblik på gensidig anerkendelse af identifikationsordningerne.

(17)     Denne forordning bør også fastlægge en generel lovramme for brug af elektroniske tillidstjenester. Der bør dog ikke stilles et generelt krav om brug af disse tjenester. Forordningen bør navnlig ikke omfatte levering af tjenester på grundlag af privatretlige frivillige aftaler. Den bør heller omfatte aspekter i forbindelse med kontrakters indgåelse og gyldighed eller andre retlige forpligtelser, som ifølge national ret eller EU-ret er undergivet formkrav.

(18)     For at bidrage til en udbredt brug af elektroniske tillidstjenester på tværs af grænserne bør det sikres, at tjenesterne kan bruges som bevis ved retshandlinger i alle medlemsstater.

(19)     Det bør stå medlemsstaterne frit for at fastlægge andre typer tillidstjenester ud over dem, der indgår i den liste, der er omfattet af denne forordning, med henblik på at anerkende dem på nationalt plan som kvalificerede tillidstjenester.

(20)     I betragtning af den hurtige teknologiske udvikling bør denne forordning følge en fremgangsmåde, der er åben over for innovation.

(21)     Denne forordning bør være teknologineutral. De retsvirkninger, den fastlægger, bør kunne opnås ved et hvilket som helst teknisk middel, der opfylder forordningens krav.

(22)     For at styrke tilliden til det indre marked og fremme brugen af tillidstjenester og –produkter, bør begreberne kvalificeret tillidstjeneste og kvalificeret tillidstjenesteyder indføres med henblik på at opstille krav og forpligtelser, der skal sikre, at de tillidstjenester og –produkter, der tilbydes og benyttes, garanterer et højt niveau af sikkerhed.

(23)     I overensstemmelse med FN-konventionen om handicappedes rettigheder, der er trådt i kraft i EU, bør handicappede have mulighed for at benytte tillidstjenester og slutbrugerprodukter, der bruges til levering af disse tjenester, på lige fod med andre forbrugere.

(24)     En tillidstjenesteyder er ansvarlig for personoplysninger ("registeransvarlig") og skal derfor opfylde forpligtelserne i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger[22]. Navnlig bør indsamlingen af personoplysninger begrænses til det minimum, der er nødvendigt for at opfylde formålet med den tjeneste, der ydes.

(25)     Tilsynsorganerne bør samarbejde og udveksle information med databeskyttelsesmyndighederne for at sikre, at tjenesteyderne anvender databeskyttelseslovgivningen korrekt. Informationsudvekslingen bør navnlig omfatte sikkerhedsrelaterede hændelser og brud på persondatasikkerheden.

(26)     For at styrke brugernes tillid til det indre marked bør alle tillidstjenesteydere følge en god sikkerhedspraksis, som er afpasset efter de risici, der er forbundet med deres aktiviteter.

(27)     Bestemmelserne om brug af pseudonymer i certifikater bør ikke være forhindre medlemsstaterne i at stille krav om identifikation af personer i henhold til EU-lovgivningen eller national lovgivning.

(28)     Alle medlemsstater bør følge fælles væsentlige tilsynskrav, så der tilvejebringes et ensartet sikkerhedsniveau for kvalificerede tillidstjenester. For at bidrage til en ensartet anvendelse af disse krav i hele EU bør medlemsstaterne indføre sammenlignelige procedurer og udveksle information om deres tilsynsvirksomhed og om bedste praksis på området.

(29)     Det er afgørende, at brud på sikkerheden og sikkerhedsrisikovurderinger indberettes, så de berørte parter får fyldestgørende oplysninger i tilfælde af brud på sikkerheden eller integriteten.

(30)     For at Kommissionen og medlemsstaterne kan vurdere nytten af den ordning for indberetning af brud på sikkerheden, der indføres ved denne forordning, bør tilsynsorganerne forelægge sammenfattende oplysninger for Kommissionen og Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA).

(31)     For at Kommissionen og medlemsstaterne kan vurdere virkningen af denne forordning, bør tilsynsorganerne forelægge statistiske oplysninger om kvalificerede tillidstjenester og brugen heraf.

(32)     For at Kommissionen og medlemsstaterne kan vurdere nytten af den forbedrede tilsynsordning, der indføres ved denne forordning, bør tilsynsorganerne aflægge rapport om deres aktiviteter. Dette vil fremme udvekslingen af god praksis mellem tilsynsorganerne og lette kontrollen af, at de væsentlige tilsynskrav gennemføres ensartet og effektivt i alle medlemsstater.

(33)     For at garantere kvalificerede tillidstjenesters bæredygtighed og holdbarhed og styrke brugernes tillid til disse tjenesters kontinuitet bør tilsynsorganerne sikre, at kvalificerede tillidstjenesteyderes data bevares og forbliver tilgængelige i et passende tidsrum, også selv om tillidstjenesteyderen indstiller sin virksomhed.

(34)     For at lette tilsynet med kvalificerede tillidstjenesteydere, for eksempel når en udbyder leverer tjenester på en anden medlemsstats område og ikke er underkastet tilsyn der, eller når en udbyders computere befinder sig i en anden medlemsstat end den, hvor udbyderen er hjemmehørende, bør der iværksættes en ordning for gensidig bistand mellem tilsynsorganerne i medlemsstaterne.

(35)     Det er tillidstjenesteydernes ansvar at opfylde kravene i denne forordning vedrørende udbud af tillidstjenester, særlig hvad angår kvalificerede tillidstjenester. Tilsynsorganerne har ansvaret for at tilse, hvordan tillidstjenesteyderne opfylder disse krav.

(36)     For at tillade en effektiv iværksættelsesproces, der bør føre til, at kvalificerede tillidstjenesteydere og deres tjenester optages på positivlister, bør der tilskyndes til indledende kontakter mellem eventuelle fremtidige tillidstjenesteydere og de kompetente tilsynsorganer med det formål at fremme den omhu, der er forudsætningen for levering af kvalificerede tillidstjenester.

(37)     Positivlister er et afgørende middel til at opbygge tillid blandt markedsaktørerne, da de fastslår tjenesteyderens status som kvalificeret udbyder på kontroltidspunktet; på den anden side er de ikke en forudsætning for at opnå kvalificeret status og udbyde kvalificerede tillidstjenester, da dette opnås blot ved at opfylde kravene i denne forordning.

(38)     Når en kvalificeret tillidstjeneste er anmeldt til det relevante tilsynsorgan, må et offentligt organ ikke afvise at bruge den til at gennemføre en administrativ procedure eller formalitet med den begrundelse, at den ikke står på de positivlister, som medlemsstaterne har opstillet. I denne forbindelse forstås ved "offentligt organ" enhver offentlig myndighed eller anden instans, der har fået til opgave at tilbyde e-forvaltningstjenester såsom elektronisk selvangivelse, elektroniske fødselsattester, elektroniske offentlige indkøb mv.

(39)     Et højt sikkerhedsniveau er en forudsætning for gensidig anerkendelse af elektroniske signaturer, men i særlige tilfælde, f.eks. i forbindelse med Kommissionens beslutning 2009/767/EF af 16. oktober 2009 om fastlæggelse af foranstaltninger, der skal lette anvendelsen elektroniske procedurer ved hjælp af kvikskranker i henhold til Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked[23], bør der også accepteres elektroniske signaturer med et lavere sikkerhedsniveau.

(40)     Det bør være muligt for en underskriver at overdrage et kvalificeret system til generering af elektroniske signaturer i tredjemands varetægt, forudsat at der anvendes passende mekanismer og procedurer til at sikre, at underskriveren bevarer fuld kontrol over brugen af sine data til generering af elektroniske signaturer, og at brugen af systemet opfylder kravene til kvalificerede elektroniske signaturer.

(41)     For at skabe retssikkerhed om elektroniske signaturers gyldighed er det nødvendigt at specificere, hvilke elementer af en kvalificeret elektronisk signatur der skal valideres af modtagerparten. Desuden bør der fastlægges krav til kvalificerede tillidstjenesteydere, der kan tilbyde en kvalificeret valideringstjeneste til parter, som ikke ønsker eller er i stand til selv at validere kvalificerede elektroniske signaturer, så den private og den offentlige sektor tilskyndes til at investere i sådanne tjenester. Tilsammen burde disse tiltag gøre det nemt og bekvemt for alle parter at validere kvalificerede elektroniske signaturer i EU.

(42)     Når en transaktion kræver en juridisk persons kvalificerede elektroniske segl, bør en kvalificeret elektronisk signatur tilhørende den juridiske persons bemyndigede repræsentant, også accepteres.

(43)     Et elektronisk segl bør tjene som bevis for, at et elektronisk dokument er udstedt af en juridisk person, og give sikkerhed for dokumentets oprindelse og integritet.

(44)     Denne forordning bør sikre bevaring af information på lang sigt og garantere, at elektroniske signaturers og elektroniske segl kan valideres uanset en fremtidig ændring af teknologien, så deres retsgyldighed bevares over længere tidsrum.

(45)     For at fremme brugen af elektroniske dokumenter på tværs af grænserne bør denne forordning fastsætte bestemmelser om retsvirkningen af elektroniske dokumenter, der bør betragtes som ligestillet med papirdokumenter, alt afhængigt af en risikovurdering og forudsat at dokumenternes ægthed og integritet garanteres. Det er også vigtigt for den videre udvikling af grænseoverskridende elektroniske transaktioner på det indre marked, at elektroniske originaldokumenter og bekræftede genparter, der er udstedt af kompetente organer i en medlemsstat i henhold til national ret, også accepteres som sådan i andre medlemsstater. Denne forordning bør ikke berøre medlemsstaternes ret til at bestemme, hvad der udgør et originaldokument eller en genpart på nationalt plan, den bør blot sikre, at originaldokumenter og genparter også kan bruges som sådan på tværs af grænserne.

(46)     Da de kompetente myndigheder i medlemsstaterne i dag benytter forskellige formater for avancerede elektroniske signaturer til at underskrive deres dokumenter elektronisk, er det nødvendigt at sørge for, at medlemsstaterne teknisk kan håndtere i det mindste et vist antal formater for avancerede elektroniske signaturer, når de modtager dokumenter, der er underskrevet elektronisk. Tilsvarende er det nødvendigt at sørge for, at de kompetente myndigheder, når de anvender avancerede elektroniske segl, understøtter i det mindste et vist antal formater for avancerede elektroniske segl.

(47)     Ud over at kunne bruges til autentifikation af dokumenter, der er udstedt af en juridisk person, kan elektroniske segl bruges til at autentificere den juridiske persons digitale aktiver, f.eks. softwarekode og servere.

(48)     Hvis det bliver muligt at autentificere websteder og deres ejer, vil det blive sværere at forfalske websteder, og dermed nedbringes omfanget af svig.

(49)     For at sikre, at visse detaljerede tekniske aspekter af denne forordning kan suppleres fleksibelt og hurtigt, bør der delegeres beføjelse til Kommissionen til at vedtage retsakter, jf. artikel 290 i traktaten om Den Europæiske Unions funktionsmåde, vedrørende interoperabilitet inden for elektronisk identifikation, krav til tillidstjenesteyderes sikkerhedsforanstaltninger, anerkendte uafhængige organer med ansvar for kontrol af tjenesteyderne, positivlister, krav vedrørende sikkerhedsniveauer for elektroniske signaturer, krav til kvalificerede certifikater for elektroniske signaturer og til validering og bevaring af signaturerne, de organer, der er ansvarlige for certificeringen af kvalificerede systemer til generering af elektroniske signaturer, krav vedrørende sikkerhedsniveauer for elektroniske segl og kvalificerede certifikater for elektroniske segl og interoperabilitet mellem leveringstjenester. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau.

(50)     Kommissionen bør i forbindelse med forberedelsen og udarbejdelsen af delegerede retsakter sørge for samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet.

(51)     For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser, navnlig beføjelse til at opstille referencenumre på standarder, hvis brug giver formodning om overensstemmelse med bestemte krav, der er fastlagt i denne forordning eller i delegerede retsakter. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser[24].

(52)     Af hensyn til retssikkerhed og klarhed bør direktiv 1999/93/EF ophæves.

(53)     Af hensyn til retssikkerheden for de markedsoperatører, der allerede benytter kvalificerede certifikater, som er udstedt i overensstemmelse med direktiv 1999/93/EF, er det nødvendigt at foreskrive en tilstrækkelig overgangsperiode. Det er også nødvendigt at give Kommissionen beføjelser til at vedtage gennemførelsesretsakter og delegerede retsakter før udløbet af overgangsperioden.

(54)     Målet for denne forordning kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan derfor på grund af foranstaltningens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor træffe foranstaltninger i overensstemmelse med nærhedsprincippet, jf. traktatens artikel 5. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål, navnlig hvad angår Kommissionens rolle som koordinator af nationale aktiviteter —

VEDTAGET DENNE FORORDNING:

KAPITEL I

GENERELLE BESTEMMELSER

Artikel 1

Genstand

1. Denne forordning fastlægger regler for elektronisk identifikation og elektroniske tillidstjenester til brug for elektroniske transaktioner med det formål at sikre, at det indre marked kan fungere efter hensigten.

2. Forordningen fastlægger betingelser, under hvilke medlemsstaterne skal anerkende og acceptere fysiske og juridiske personers elektroniske identifikationsmidler, der er omfattet af en elektronisk identifikationsordning, som er anmeldt af en anden medlemsstat.

3. Forordningen opstiller et retsgrundlag for elektroniske signaturer, elektroniske segl, elektroniske tidsstempler, elektroniske dokumenter, elektroniske leveringstjenester og webstedsautentifikation.

4. Forordningen sikrer fri bevægelighed inden for det indre marked for tillidstjenester og ‑produkter, der overholder forordningens bestemmelser.

Artikel 2

Anvendelsesområde

1. Denne forordning finder anvendelse på elektronisk identifikation, der stilles til rådighed af medlemsstaterne, eller på deres vegne eller under deres ansvar, samt på tillidstjenesteydere, der er hjemmehørende i Unionen.

2. Forordningen finder ikke anvendelse på levering af elektroniske tillidstjenester på grundlag af privatretlige frivillige aftaler.

3. Forordningen omfatter ikke aspekter i forbindelse med kontrakters indgåelse og gyldighed eller andre retlige forpligtelser, som ifølge national ret eller EU-ret er undergivet formkrav.

Artikel 3

Definitioner

I denne forordning forstås ved:

1) "elektronisk identifikation": det at bruge personidentifikationsdata i elektronisk form, der entydigt repræsenterer en fysisk eller juridisk person

2) "elektronisk identifikationsmiddel": en materiel eller immateriel enhed, der indeholder data, jf. nr. 1 i denne artikel, og som bruges til at få adgang til onlinetjenester, jf. artikel 5

3) "elektronisk identifikationsordning": et system til elektronisk identifikation, under hvilket der udstedes elektroniske identifikationsmidler til personer, jf. nr. 1 i denne artikel

4) "autentifikation": en elektronisk proces, der muliggør validering af den elektroniske identifikation af en fysisk eller juridisk person eller af elektroniske datas oprindelse og integritet

5) "underskriver": en fysisk person, der genererer en elektronisk signatur

6) "elektronisk signatur": data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre elektroniske data, og som anvendes af underskriveren til at skrive under

7) "avanceret elektronisk signatur": en elektronisk signatur, der opfylder følgende krav:

a)      den er entydigt knyttet til underskriveren

b)      den kan identificere underskriveren

c)      den genereres ved hjælp af data til generering af elektroniske signaturer, som underskriveren med en høj grad af tillid kan anvende og har fuld kontrol med og

d)      den er knyttet til de data, som den vedrører, på en sådan måde, at en hvilken som helst senere ændring af disse data kan opdages

8) "kvalificeret elektronisk signatur": en avanceret elektronisk signatur, der er genereret af et kvalificeret system til generering af elektroniske signaturer og baseret på et kvalificeret certifikat for elektroniske signaturer

9) "data til generering af elektroniske signaturer": unikke data, som anvendes af underskriveren til at generere en elektronisk signatur

10) "certifikat"’: en elektronisk attestering, som knytter valideringsdataene for en fysisk eller juridisk persons elektroniske signatur eller segl til certifikatet og bekræfter denne persons data

11) "kvalificeret certifikat for elektronisk signatur": en attestering, der tjener til støtte for elektroniske signaturer, og som er udstedt af en kvalificeret tillidstjenesteyder og opfylder kravene i bilag I

12) "tillidstjeneste": en elektronisk tjeneste, der omfatter generering, verificering, validering, håndtering og bevaring af elektroniske signaturer, elektroniske segl, elektroniske tidsstempler, elektroniske dokumenter, elektroniske leveringstjenester, webstedsautentifikation og elektroniske certifikater, herunder certifikater for elektroniske signaturer og elektroniske segl

13) "kvalificeret tillidstjeneste": en tillidstjeneste, der opfylder kravene i denne forordning

14) "tillidstjenesteyder": en fysisk eller juridisk person, der udbyder en eller flere tillidstjenester

15) "kvalificeret tillidstjenesteyder": en tillidstjenesteyder, der opfylder kravene i denne forordning

16) "produkt": hardware eller software eller relevante komponenter heraf, som er beregnet til at blive brugt til levering af tillidstjenester

17) "system til generering af elektroniske signaturer": konfigureret software eller hardware, der bruges til at generere en elektronisk signatur

18) "kvalificeret system til generering af elektroniske signaturer": et system til generering af elektroniske signaturer, der opfylder kravene i bilag II

19) "forseglende part": en juridisk person, der genererer et elektronisk segl

20) "elektronisk segl": data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre elektroniske data, og som giver sikkerhed for disse datas oprindelse og integritet

21) "avanceret elektronisk segl": et elektronisk segl, der opfylder følgende krav:

a)      det er entydigt knyttet til den forseglende part

b)      det kan identificere den forseglende part

c)      det genereres ved hjælp af data til generering af elektroniske segl, som den forseglende part med en høj grad af tillid og fuld kontrol kan anvende til at generere elektroniske segl, og

d)      det er knyttet til de data, som det vedrører, på en sådan måde, at en hvilken som helst senere ændring af disse data kan opdages

22) "kvalificeret elektronisk segl": et avanceret elektronisk segl, der er genereret af et kvalificeret system til generering af elektroniske segl og baseret på et kvalificeret certifikat for elektroniske segl

23) "data til generering af elektroniske segl": unikke data, som anvendes af den forseglende part til at generere et elektronisk segl

24) "kvalificeret certifikat for elektronisk segl": en attestering, der tjener til støtte for et elektronisk segl, og som er udstedt af en kvalificeret tillidstjenesteyder og opfylder kravene i bilag III

25) "elektronisk tidsstempel": data i elektronisk form, der forbinder andre elektroniske data med et bestemt tidspunkt og udgør bevis for, at disse data eksisterede på det pågældende tidspunkt

26) "kvalificeret elektronisk tidsstempel": et elektronisk tidsstempel, der opfylder kravene i artikel 33

27) "elektronisk dokument": et dokument i et hvilket som helst elektronisk format

28) "elektronisk leveringstjeneste": en tjeneste, der gør det muligt at sende data ad elektronisk vej og dokumenterer behandlingen af de sendte data, herunder leverer bevis for afsendelse og modtagelse af dataene, og som beskytter de sendte data mod tab, tyveri, beskadigelse og uautoriseret ændring

29) "kvalificeret elektronisk leveringstjeneste": en elektronisk leveringstjeneste, der opfylder kravene i artikel 36

30) "kvalificeret certifikat for webstedsautentifikation": en attestering, der er udstedt af en kvalificeret tillidstjenesteyder og opfylder kravene i bilag IV, og som gør det muligt at autentificere et websted og knytter webstedet til den person, som certifikatet er udstedt til

31) "valideringsdata": data, der bruges til at validere en elektronisk signatur eller et elektronisk segl.

Artikel 4

Principper vedrørende det indre marked

1. Tillidstjenesteydere har ret til uden restriktioner at udbyde deres tjenester i en anden medlemsstat end den, hvor de er hjemmehørende, når tjenesterne udbydes med et formål, der er omfattet af denne forordning.

2. Der skal være fri bevægelighed inden for det indre marked for produkter, der overholder bestemmelserne i denne forordning.

KAPITEL II

ELEKTRONISK IDENTIFIKATION

Artikel 5

Gensidig anerkendelse og accept

Når der i henhold til national lovgivning eller administrativ praksis kræves elektronisk identifikation ved hjælp af et elektronisk identifikationsmiddel og autentifikation som forudsætning for adgang til en onlinetjeneste, skal ethvert elektronisk identifikationsmiddel, der er udstedt i en anden medlemsstat og omfattet af en ordning, der er opført i den liste, som Kommissionen offentliggør efter proceduren i artikel 7, anerkendes og accepteres med henblik på adgang til denne tjeneste.

Artikel 6

Betingelser for anmeldelse af elektroniske identifikationsordninger

1. Elektroniske identifikationsordninger kan anmeldes i henhold til artikel 7, hvis alle nedenstående betingelser er opfyldt:

a)           det elektroniske identifikationsmiddel er udstedt af, på vegne af eller under ansvar af den medlemsstat, der anmelder ordningen

b)           det elektroniske identifikationsmiddel kan som minimum bruges til at få adgang til offentlige tjenester, der kræver elektronisk identifikation i den anmeldende medlemsstat

c)           den anmeldende medlemsstat sikrer, at personidentifikationsdataene er knyttet entydigt til en fysisk eller juridisk person, jf. artikel 3, nr. 1

d)           den anmeldende medlemsstat sikrer, at der gratis og til enhver tid stilles en autentifikationsmulighed til rådighed online, så enhver modtagerpart kan validere de personidentifikationsdata, som vedkommende har modtaget i elektronisk form. Medlemsstaterne må ikke pålægge parter, der er hjemmehørende uden for deres område, og som vil gennemføre en sådan autentifikation, specifikke tekniske krav. Hvis troværdigheden af en anmeldt identifikationsordning eller en autentifikationsmulighed helt eller delvis kompromitteres, skal medlemsstaten omgående suspendere eller tilbagekalde identifikationsordningen eller autentifikationsmuligheden eller de kompromitterede dele og underrette de øvrige medlemsstater og Kommissionen herom i henhold til artikel 7

e)           den anmeldende medlemsstat påtager sig erstatningsansvaret for:

– i) den entydige tilknytning af personidentifikationsdataene, jf. litra c), og

– ii) autentifikationsmuligheden, jf. litra d).

2. Stk. 1, litra e), tilsidesætter ikke det erstatningsansvar, der påhviler parterne i en transaktion, hvor der benyttes elektroniske identifikationsmidler, som er omfattet af den anmeldte ordning.

Artikel 7

Anmeldelse

1. Når medlemsstaterne anmelder en elektronisk identifikationsordning, skal de forelægge Kommissionen nedenstående oplysninger og hurtigst muligt eventuelle senere ændringer heraf:

a)           en beskrivelse af den anmeldte elektroniske identifikationsordning

b)           oplysning om, hvilke myndigheder der er ansvarlige for den anmeldte elektroniske identifikationsordning

c)           oplysning om, hvem der forvalter registreringen af de entydige personidentifikatorer

d)           en beskrivelse af autentifikationsmuligheden

e)           nærmere bestemmelser om suspension eller tilbagekaldelse af den anmeldte identifikationsordning, autentifikationsmuligheden eller de kompromitterede dele heraf.

2. Seks måneder efter forordningens ikrafttræden offentliggør Kommissionen i Den Europæiske Unions Tidende en liste over de elektroniske identifikationsordninger, der er anmeldt i henhold til stk. 1, med grundlæggende oplysninger om ordningerne.

3. Hvis Kommissionen modtager en anmeldelse efter udløbet af den periode, der er fastsat i stk. 2, ændrer den listen inden for tre måneder.

4. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge vilkår, formater og procedurer for anmeldelserne i medfør af stk. 1 og 3. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

Artikel 8

Koordinering

1. Medlemsstaterne samarbejder med det mål at skabe interoperabilitet mellem elektroniske identifikationsmidler, der er omfattet af en anmeldt ordning, og for at øge sikkerheden i disse identifikationsmidler.

2. Kommissionen fastlægger ved hjælp af gennemførelsesretsakter de fornødne foranstaltninger for at lette samarbejdet mellem medlemsstaterne, jf. stk. 1, med henblik på at fremme et højt niveau af tillid og sikkerhed, der står i et passende forhold til risikoen. Disse gennemførelsesretsakter skal navnlig omfatte udveksling af information, erfaringer og god praksis vedrørende elektroniske identifikationsordninger, fagfællebedømmelse af anmeldte elektroniske identifikationsordninger og undersøgelser af relevante udviklingstendenser i sektoren for elektronisk identifikation, der skal gennemføres af de kompetente myndigheder i medlemsstaterne. Gennemførelsesretsakterne vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

3. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter efter artikel 38 med det formål at fremme interoperabilitet på tværs af grænserne mellem elektroniske identifikationsmidler ved hjælp af tekniske minimumskrav.

KAPITEL III

TILLIDSTJENESTER

Afdeling 1

Generelle bestemmelser

Artikel 9

Ansvar

1. En tillidstjenesteyder er ansvarlig for enhver form for direkte skade, der forårsages for en fysisk eller juridisk person som følge af manglende overholdelse af forpligtelserne i artikel 15, stk. 1, medmindre tillidstjenesteyderen kan bevise, at han ikke har udvist forsømmelighed.

2. En kvalificeret tillidstjenesteyder er ansvarlig for enhver form for direkte skade, der forårsages for en fysisk eller juridisk person som følge af manglende overholdelse af kravene i denne forordning, særlig artikel 19, medmindre tillidstjenesteyderen kan bevise, at han ikke har udvist forsømmelighed.

Artikel 10

Tillidstjenesteydere fra tredjelande

1. Kvalificerede tillidstjenester og kvalificerede certifikater, der leveres af kvalificerede tillidstjenesteydere, som er hjemmehørende i et tredjeland, skal accepteres som kvalificerede tillidstjenester og kvalificerede certifikater, der leveres af en kvalificeret tillidstjenesteyder, der er hjemmehørende i Unionen, hvis de kvalificerede tillidstjenester og kvalificerede certifikater, der har oprindelse i tredjelandet, anerkendes i henhold til en aftale mellem Unionen og tredjelande eller internationale organisationer i overensstemmelse med artikel 218 i TEUF.

2. Sådanne aftaler, jf. stk. 1, skal sikre, at tillidstjenesteyderne i tredjelande eller internationale organisationer opfylder de krav, der gælder for kvalificerede tillidstjenester og kvalificerede certifikater, der leveres af kvalificerede tillidstjenesteydere, som er hjemmehørende i Unionen, især kravene vedrørende beskyttelse af personoplysninger, sikkerhed og tilsyn.

Artikel 11

Databehandling og databeskyttelse

1. Tillidstjenesteydere og tilsynsorganer skal sikre en rimelig og lovlig behandling af personoplysninger i overensstemmelse med direktiv 95/46/EF.

2. Tillidstjenesteydere skal behandle personoplysninger i overensstemmelse med direktiv 95/46/EF. Behandlingen af personoplysninger skal begrænses til det minimum af oplysninger, der er strengt nødvendige, for at et certifikat kan udstedes og ajourføres, eller for at der kan leveres en tillidstjeneste.

3. Tillidstjenesteydere skal garantere fortroligheden og integriteten af oplysningerne vedrørende de personer, de leverer tillidstjenester til.

4. Uden at den retsvirkning, der tillægges pseudonymer i henhold til den nationale lovgivning dermed foregribes, må medlemsstaterne ikke forhindre, at tillidstjenesteydere på certifikater for elektroniske signaturer anfører et pseudonym i stedet for underskriverens navn.

Artikel 12

Tilgængelighed for personer med handicap

Tillidstjenester og slutbrugerprodukter, der bruges til levering af disse tjenester, skal være tilgængelige for handicappede, hvor som helst det er muligt.

Afdeling 2

Tilsyn

Artikel 13

Tilsynsorganer

1. Hver medlemsstat udpeger et passende organ, der er hjemmehørende på medlemsstatens område eller, efter gensidig aftale, i en anden medlemsstat under den udpegende medlemsstats ansvar. Tilsynsorganerne tillægges alle de tilsyns- og undersøgelsesbeføjelser, der er nødvendige for, at de kan varetage deres opgaver.

2. Tilsynsorganet har ansvaret for følgende opgaver:

a)           at overvåge tillidstjenesteydere, der er hjemmehørende på den udpegende medlemsstats område, for at sikre, at de opfylder kravene i artikel 15

b)           at føre tilsyn med kvalificerede tillidstjenesteydere, der er hjemmehørende på den udpegende medlemsstats område, og med de kvalificerede tillidstjenester, de leverer, for at sikre, at tjenesteyderne og deres tjenester opfylder kravene i denne forordning

c)           at sikre, at de relevante oplysninger, som kvalificerede tillidstjenesteydere registrerer, jf. artikel 19, stk. 2, litra g), bevares og forbliver tilgængelige i et passende tidsrum, efter at en tillidstjenesteyder har indstillet sin virksomhed, med henblik på at garantere tjenestens kontinuitet.

3. Tilsynsorganerne skal hvert år inden udgangen af det første kvartal forelægge en rapport om det foregående års tilsynsvirksomhed for Kommissionen og medlemsstaterne. Rapporten skal som minimum indeholde:

a)           oplysninger om tilsynsorganets tilsynsvirksomhed

b)           en sammenfatning af de indberetninger af brud på sikkerheden, som tilsynsorganet har modtaget fra tillidstjenesteydere i overensstemmelse med artikel 15, stk. 2

c)           statistikker om markedet for kvalificerede tillidstjenester og brugen af disse, herunder oplysninger om de kvalificerede tillidstjenesteydere, de kvalificerede tillidstjenester, de udbyder, de produkter, de benytter, og en generel beskrivelse af deres kunder.

4. Medlemsstaterne meddeler Kommissionen og hinanden navn og adresse på de tilsynsorganer, de hver især har udpeget.

5. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter efter artikel 38 med det formål at fastsætte procedurer for udførelsen af de opgaver, der er opført i stk. 2.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge vilkår, formater og procedurer for rapporteringen i medfør af stk. 3. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

Artikel 14

Gensidig bistand

1. Tilsynsorganerne skal samarbejde med henblik på at udveksle god praksis og hurtigst muligt formidle relevante oplysninger og yde hinanden bistand, så deres arbejde udføres på en ensartet måde. Den gensidige bistand skal navnlig dække anmodninger om oplysninger og tilsynsforanstaltninger, f.eks. anmodninger om at foretage inspektioner i forbindelse med den kontrol af sikkerheden, der skal udføres i henhold til artikel 15, 16 og 17.

2. Et tilsynsorgan, der modtager en anmodning om bistand, kan ikke afvise at imødekomme denne, medmindre:

a)           den ikke er kompetent til at behandle anmodningen eller

b)           det vil være uforeneligt med denne forordning at imødekomme anmodningen.

3. Hvor det er hensigtsmæssigt, kan tilsynsorganerne gennemføre undersøgelser i fællesskab, hvor personale fra andre medlemsstaters tilsynsorganer deltager.

Tilsynsorganet i den medlemsstat, hvor undersøgelsen skal finde sted, kan under overholdelse af lovgivningen i denne medlemsstat overdrage opgaver til personalet i det assisterede tilsynsorgan. Sådanne beføjelser må kun udøves under vejledning af værtstilsynsorganets personale og i dettes nærvær. Personalet i det assisterede tilsynsorgan er underlagt national ret i den medlemsstat, hvor værtstilsynsorganet er hjemmehørende. Værtstilsynsorganet påtager sig ansvaret for det assisterede tilsynsorgans personales handlinger.

4. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge, under hvilke former og efter hvilke procedurer den gensidige bistand i medfør af denne artikel skal ydes. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

Artikel 15

Sikkerhedskrav til tillidstjenesteydere

1. Tillidstjenesteydere, der er hjemmehørende i Unionen, skal træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder. Under hensyn til teknologiens aktuelle stade skal disse foranstaltninger garantere et sikkerhedsniveau, der står i forhold til risikoen. Tillidstjenesteyderne bør navnlig tage skridt til at forhindre og minimere virkningen af sikkerhedsrelaterede hændelser og underrette de berørte parter om de negative virkninger af eventuelle hændelser.

Uden at dette tilsidesætter bestemmelserne i artikel 16, stk. 1, kan en tillidstjenesteyder forelægge tilsynsorganet en sikkerhedskontrolrapport, der udfærdiget af et anerkendt uafhængigt organ, til bekræftelse af, at der er truffet passende sikkerhedsforanstaltninger.

2. En tillidstjenesteyder, der konstaterer på et brud på sikkerheden eller integriteten, som har en væsentlig indvirkning på den udbudte tillidstjeneste og de berørte personoplysninger, skal uden unødig forsinkelse og om muligt inden for et døgn underrette det kompetente tilsynsorgan, det kompetente nationale organ for informationssikkerhed og andre relevante tredjeparter som f.eks. databeskyttelsesmyndighederne herom.

Hvor det er relevant, og navnlig hvis bruddet på sikkerheden eller integriteten berører to eller flere medlemsstater, skal det pågældende tilsynsorgan underrette tilsynsorganerne i de andre medlemsstater og Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA).

Det pågældende tilsynsorgan kan også underrette offentligheden eller kræve, at tillidstjenesteyderen gør det, hvis den fastslår, at det er i offentlighedens interesse, at et brud på sikkerheden offentliggøres.

3. Tilsynsorganet skal hvert år forelægge ENISA og Kommissionen en sammenfattende rapport om de indberetninger af brud på sikkerheden, som det har modtaget fra tillidstjenesteyderne.

4. Med henblik på gennemførelsen af stk. 1 og 2 tillægges de kompetente tilsynsorganer beføjelse til at udstede bindende instrukser til tillidstjenesteyderne.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med det formål at uddybe kravene i stk. 1.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge vilkår, former og procedurer, herunder frister, for gennemførelsen af stk. 1 til 3. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

Artikel 16

Tilsyn med kvalificerede tillidstjenesteydere

1. For at bekræfte, at de kvalificerede tillidstjenesteydere og deres kvalificerede tillidstjenester opfylder kravene i denne forordning, skal et anerkendt uafhængigt organ en gang om året foretage en kontrol af tillidstjenesteyderne, og disse skal forelægge den resulterende sikkerhedskontrolrapport for tilsynsorganet.

2. Uden at dette berører stk. 1, kan tilsynsorganet enten på eget initiativ eller på Kommissionens anmodning til enhver tid foretage kontrol hos kvalificerede tillidstjenesteydere for at bekræfte, at de og deres tjenester stadig opfylder kravene i denne forordning. Ved mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger skal tilsynsorganet underrette databeskyttelsesmyndighederne om resultaterne af deres kontrolundersøgelser.

3. Tilsynsorganerne tillægges beføjelse til at udstede bindende instrukser til de kvalificerede tillidstjenesteydere om at afhjælpe de mangler i opfyldelsen af kravene, der er anført i sikkerhedskontrolrapporten.

4. Hvis en kvalificeret tillidstjenesteyder ikke afhjælper sådanne mangler, jf. stk. 3, inden for den frist, som tilsynsorganet har sat, taber vedkommende sin status som kvalificeret tillidstjenesteyder, og tilsynsorganet underretter tillidstjenesteyderen om, at dennes status i positivlisterne, jf. artikel 18, ændres i overensstemmelse hermed.

5. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter efter artikel 38 med det formål at fastlægge betingelser for anerkendelse af de uafhængige organer, der foretager den kontrol, der er omhandlet i nærværende artikels stk. 1 og i artikel 15, stk. 1, og artikel 17, stk. 1.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge vilkår, former og procedurer for gennemførelsen af stk. 1, 2 og 4. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

Artikel 17

Iværksættelse af en kvalificeret tillidstjeneste

1. En kvalificeret tillidstjenesteyder, der har til hensigt at udbyde en kvalificeret tillidstjeneste, skal anmelde dette til tilsynsorganet og forelægge tilsynsorganet en sikkerhedskontrolrapport, der er udfærdiget af et anerkendt uafhængigt organ som foreskrevet i artikel 16, stk. 1. Derefter kan tillidstjenesteyderen begynde at udbyde kvalificerede tillidstjenester.

2. Så snart de relevante dokumenter er forelagt for tilsynsorganet i overensstemmelse med stk. 1, optages den kvalificerede tillidstjenesteyder på de positivlister, der er omhandlet i artikel 18, med angivelse af, at der er indgivet anmeldelse.

3. Tilsynsorganet kontrollerer, om den kvalificerede tillidstjenesteyder og de kvalificerede tillidstjenester, som vedkommende udbyder, opfylder kravene i denne forordning.

I bekræftende fald anfører tilsynsorganet senest en måned efter anmeldelsen, jf. stk. 1, på positivlisterne, at den pågældende tjenesteyder har status som kvalificeret tillidstjenesteyder, og at vedkommendes tjenester har status som kvalificerede tillidstjenester.

Hvis kontrollen ikke er afsluttet inden for en måned, underretter tilsynsorganet den kvalificerede tillidstjenesteyder herom og forklarer årsagerne til forsinkelsen samt oplyser, hvornår kontrollen vil være afsluttet.

4. Når en kvalificeret tillidstjeneste er anmeldt til tilsynsorganet, jf. stk. 1, må et offentligt organ ikke afvise at bruge den til at gennemføre en administrativ procedure eller formalitet med den begrundelse, at den ikke står på de lister, der er henvises til i stk. 3.

5. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge vilkår, former og procedurer for gennemførelsen af stk. 1, 2 og 3. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

Artikel 18

Positivlister

1. Hver medlemsstat opretter, ajourfører og offentliggør positivlister med oplysninger om de kvalificerede tillidstjenesteydere, som den har ansvaret for, samt deres kvalificerede tillidstjenester.

2. Medlemsstaterne opretter, ajourfører og offentliggør under sikre forhold elektronisk underskrevne eller forseglede positivlister, jf. stk. 1, i en form, der egner sig til automatiseret behandling.

3. Medlemsstaterne meddeler hurtigst muligt Kommissionen, hvilket organ der er ansvarligt for at oprette, ajourføre og offentliggøre de nationale positivlister, og hvor disse lister offentliggøres, og sender Kommissionen det certifikat, der er anvendt til underskrift eller forsegling af positivlisterne, og eventuelle ændringer heraf.

4. Kommissionen stiller de oplysninger, der er omhandlet i stk. 3, til rådighed for offentligheden via en sikker kommunikationsforbindelse og i en elektronisk underskrevet eller forseglet form, der egner sig til automatiseret behandling.

5. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter efter artikel 38 om fastsættelse af arten af de oplysninger, der er omhandlet i stk. 1.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge tekniske specifikationer og formater for positivlister med henblik på gennemførelsen af stk. 1 til 4. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

Artikel 19

Krav til kvalificerede tillidstjenesteydere

1. Når en kvalificeret tillidstjenesteyder udsteder et kvalificeret certifikat, skal vedkommende med hensigtsmæssige midler og i overensstemmelse med national ret kontrollere identiteten og eventuelt særlige kendetegn ved den fysiske eller juridiske person, som certifikatet udstedes til.

Disse oplysninger skal kontrolleres af den kvalificerede tjenesteyder eller af en autoriseret tredjepart, der handler under den kvalificerede tjenesteyders ansvar:

a)           ved fysisk fremmøde af den fysiske person eller den bemyndigede repræsentant for den juridiske person eller

b)           på afstand ved hjælp af elektroniske identifikationsmidler, der er omfattet af en anmeldt ordning og udstedt i overensstemmelse med litra a).

2. Kvalificerede tillidstjenesteydere, der udbyder kvalificerede tillidstjenester, skal:

a)           beskæftige personale, der har den nødvendige ekspertviden og de nødvendige erfaringer og kvalifikationer, som anvender administrative og ledelsesmæssige procedurer i overensstemmelse med europæiske eller internationale standarder, og som har fået tilstrækkelig uddannelse i reglerne for sikkerhed og beskyttelse af personoplysninger

b)           bære erstatningsansvaret for skader ved til stadighed at have tilstrækkelige økonomiske ressourcer til rådighed eller ved at tegne en passende ansvarsforsikring

c)           underrette personer, der ønsker at gøre brug af en kvalificeret tillidstjeneste, om de nøjagtige vilkår for brugen af denne tjeneste, inden de indgår i et kontraktforhold

d)           anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og som garanterer den tekniske sikkerhed og pålidelighed i den proces, som disse systemer og produkter understøtter

e)           benytte pålidelige systemer til opbevaring af de data, de modtager, i verificerbar form, således at

– de kun er offentligt tilgængelige i de tilfælde, hvor den person, som dataene er udstedt til, har givet sit samtykke

– kun bemyndigede personer kan foretage tilføjelser og ændringer

– oplysningernes ægthed kan kontrolleres

f)            træffe foranstaltninger imod forfalskning og tyveri af data

g)           registrere og bevare alle relevante oplysninger om de data, den kvalificerede tillidstjenesteyder har udstedt og modtaget, i en rimelig periode, navnlig for at kunne fremlægge bevis, når det er påkrævet i retssager; denne registrering kan ske elektronisk

h)           have en ajourført plan i tilfælde af virksomhedsafbrydelse for at sikre tjenestens kontinuitet i overensstemmelse med nærmere bestemmelser, som tilsynsorganer fastsætter i medfør af artikel 13, stk. 2, litra c)

i)            sikre, at personoplysninger behandles i overensstemmelse med artikel 11.

3. Kvalificerede tillidstjenesteydere, der udsteder kvalificerede certifikater, skal registrere tilbagekaldelsen af et certifikat i deres certifikatdatabase inden for 10 minutter, efter at tilbagekaldelsen er trådt i kraft.

4. Med hensyn til stk. 3 skal kvalificerede tillidstjenesteydere, der udsteder kvalificerede certifikater, stille oplysninger om certifikaternes gyldighed eller tilbagekaldelse til rådighed for enhver part, der forlader sig på certifikaterne. Disse oplysninger skal være automatisk og gratis tilgængelige til enhver tid og på pålidelig og effektiv vis, som minimum for et certifikat ad gangen.

5. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for pålidelige systemer og produkter. Pålidelige systemer og produkter, der opfylder disse standarder, formodes at overholde kravene i artikel 19. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Afdeling 3

Elektronisk signatur

Artikel 20

Retsvirkninger og accept af elektroniske signaturer

1. En elektronisk signatur må ikke nægtes retlig gyldighed og anerkendelse som bevis under retssager alene af den grund, at den er i elektronisk form.

2. En kvalificeret elektronisk signatur har samme retsvirkning som en håndskreven underskrift.

3. Kvalificerede certifikater for elektroniske signaturer skal anerkendes og accepteres i alle medlemsstater.

4. Hvis der kræves en elektronisk signatur med et sikkerhedsniveau, som ligger under det niveau, der er forbundet med en kvalificeret elektronisk signatur, og navnlig hvis en sådan signatur kræves af en medlemsstat som forudsætning for adgang til en onlinetjeneste, der tilbydes af et offentligt organ, på grundlag af en passende vurdering af de risici, der er forbundet med den pågældende tjeneste, skal alle elektroniske signaturer, der har mindst samme sikkerhedsniveau, anerkendes og accepteres.

5. I forbindelse med grænseoverskridende adgang til en onlinetjenester, der tilbydes af et offentligt organ, må medlemsstaterne ikke kræve en elektronisk signatur med et højere sikkerhedsniveau end det, der er forbundet med en kvalificeret elektronisk signatur.

6. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter efter artikel 38 med det formål at fastsætte de forskellige sikkerhedsniveauer for elektroniske signaturer, jf. stk. 4.

7. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for sikkerhedsniveauer for elektroniske signaturer. En elektronisk signatur, der opfylder disse standarder, formodes at overholde det sikkerhedsniveau, der er fastlagt i en delegeret retsakt, som er vedtaget i henhold til stk. 6. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Artikel 21

Kvalificerede certifikater for elektroniske signaturer

1. Kvalificerede certifikater for elektroniske signaturer skal opfylde kravene i bilag I.

2. Kvalificerede certifikater for elektroniske signaturer må ikke undergives ufravigelige krav, der går videre end kravene i bilag I.

3. Hvis et kvalificeret certifikat for en elektronisk signatur er blevet tilbagekaldt efter den første aktivering, taber det sin gyldighed, og dets status kan under ingen omstændigheder ændres ved at forny gyldigheden.

4. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med det formål at uddybe kravene i bilag I.

5. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede certifikater for elektroniske signaturer. Et kvalificeret certifikat for elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i bilag I. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Artikel 22

Krav til kvalificerede systemer til generering af elektroniske signaturer

1. Kvalificerede systemer til generering af elektroniske signaturer skal opfylde kravene i bilag II.

2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede systemer til generering af elektroniske signaturer. Et kvalificeret system til generering af elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i bilag II. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Artikel 23

Certificering af kvalificerede systemer til generering af elektroniske signaturer

1. Kvalificerede systemer til generering af elektroniske signaturer kan certificeres af passende offentlige eller private organer, der udpeges af medlemsstaterne efter at være blevet underkastet en sikkerhedsevalueringsproces, som er gennemført i overensstemmelse med en af de standarder for sikkerhedsvurdering af informationsteknologiprodukter, der er opført på en liste, som Kommissionen opstiller ved gennemførelsesretsakter. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

2. Medlemsstaterne meddeler Kommissionen og hinanden navn og adresse på de offentlige eller private organer, de har udpeget i medfør af stk. 1.

3. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter efter artikel 38 med det formål at fastsætte de særlige kriterier, som de udpegede organer, jf. stk. 1, skal opfylde.

Artikel 24

Offentliggørelse af en liste over certificerede kvalificerede systemer til generering af elektroniske signaturer

1. Medlemsstaterne forelægger hurtigst muligt Kommissionen oplysninger om de kvalificerede systemer til generering af elektroniske signaturer, der er certificeret af de organer, der er omhandlet i artikel 23. De underretter også hurtigst muligt Kommissionen om kvalificerede systemer til generering af elektroniske signaturer, der ikke længere er certificeret.

2. På grundlag af de modtagne oplysninger opstiller Kommissionen en liste over certificerede kvalificerede systemer til generering af elektroniske signaturer, som den offentliggør og fører ajour.

3. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge vilkår, former og procedurer for gennemførelsen af stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

Artikel 25

Krav til validering af kvalificerede elektroniske signaturer

1. En kvalificeret elektronisk signatur anses for gyldig, forudsat at det med en høj grad af sikkerhed kan fastslås, at der på underskrifttidspunktet gælder følgende:

a)           certifikatet, der støtter signaturen, er et certifikat for elektronisk signatur, der er i overensstemmelse med bestemmelserne i bilag I

b)           det påkrævede kvalificerede certifikat er autentisk og gyldigt

c)           signaturvalideringsdataene stemmer overens med de data, der leveres til modtagerparten

d)           det sæt data, der entydigt repræsenterer underskriveren, leveres korrekt til modtagerparten

e)           en eventuel anvendelse af et pseudonym fremgår klart for modtagerparten

f)            den elektroniske signatur er genereret af et kvalificeret system til generering af elektroniske signaturer

g)           de underskrevne datas integritet er ikke bragt i fare

h)           kravene i artikel 3, nr. 7, er opfyldt

i)            det system, der anvendes til validering af signaturen, leverer modtagerparten det korrekte resultat af valideringsprocessen og gør det muligt for vedkommende at opdage eventuelle sikkerhedsproblemer.

2. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med det formål at uddybe kravene i stk. 1.

3. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for validering af kvalificerede elektroniske signaturer. En validering af kvalificerede elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Artikel 26

Kvalificeret valideringstjeneste for kvalificerede elektroniske signaturer

1. Kvalificerede tillidstjenesteydere skal stille kvalificerede valideringstjenester for kvalificerede elektroniske signaturer til rådighed, der:

a)           udfører validering i overensstemmelse med artikel 25, stk. 1, og

b)           gør det muligt for modtagerparter automatisk at modtage resultatet af valideringsprocessen på pålidelig og effektiv vis, hvor resultatet bærer valideringstjenesteyderens avancerede elektroniske signatur eller avancerede elektroniske segl.

2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede valideringstjenester, jf. stk. 1. En valideringstjeneste for kvalificerede elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i stk. 1, litra b). Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Artikel 27

Bevaring af kvalificerede elektroniske signaturer

1. Kvalificerede tillidstjenesteydere skal stille en tjeneste til rådighed til bevaring af kvalificerede elektroniske signaturer; denne tjeneste skal omfatte procedurer og teknologier, der gør det muligt at forlænge pålideligheden af valideringsdataene for kvalificerede elektroniske signaturer ud over den teknologiske gyldighedsperiode.

2. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med det formål at uddybe kravene i stk. 1.

3. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for bevaring af kvalificerede elektroniske signaturer. En tjeneste til bevaring af kvalificerede elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Afdeling 4

Elektronisk segl

Artikel 28

Retsvirkninger af elektroniske segl

1. Et elektronisk segl må ikke nægtes retlig gyldighed og anerkendelse som bevis under retssager alene af den grund, at det er i elektronisk form.

2. Når et elektronisk segl har status som kvalificeret, gælder der efter loven en formodning om, at seglet giver sikkerhed for oprindelsen og integriteten af de data, som det er knyttet til.

3. Et kvalificeret elektronisk segl skal anerkendes og accepteres i alle medlemsstater.

4. Hvis der kræves et elektronisk segl med et sikkerhedsniveau, som ligger under det niveau, der er forbundet med et kvalificeret elektronisk segl, og navnlig hvis et sådant segl kræves af en medlemsstat som forudsætning for adgang til en onlinetjeneste, der tilbydes af et offentligt organ, på grundlag af en passende vurdering af de risici, der er forbundet med den pågældende tjeneste, skal alle elektroniske segl, der har mindst samme sikkerhedsniveau, accepteres.

5. I forbindelse med grænseoverskridende adgang til en onlinetjenester, der tilbydes af et offentligt organ, må medlemsstaterne ikke kræve et elektronisk segl med et højere sikkerhedsniveau end det, der er forbundet med et kvalificeret elektronisk segl.

6. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter efter artikel 38 med det formål at fastsætte de forskellige sikkerhedsniveauer for elektroniske segl, jf. stk. 4.

7. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for sikkerhedsniveauer for elektroniske segl. Et elektronisk segl, der opfylder disse standarder, formodes at overholde det sikkerhedsniveau, der er fastlagt i en delegeret retsakt, som er vedtaget i henhold til stk. 6. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Artikel 29

Krav til kvalificerede certifikater for elektroniske segl

1. Kvalificerede certifikater for elektroniske segl skal opfylde kravene i bilag III.

2. Kvalificerede certifikater for elektroniske segl må ikke undergives ufravigelige krav, der går videre end kravene i bilag III.

3. Hvis et kvalificeret certifikat for et elektronisk segl er blevet tilbagekaldt efter den første aktivering, mister det sin gyldighed, og dets status kan under ingen omstændigheder ændres ved at forny gyldigheden.

4. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med det formål at uddybe kravene i bilag III.

5. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede certifikater for elektroniske segl. Et kvalificeret certifikat for elektroniske segl, der opfylder disse standarder, formodes at overholde kravene i bilag III. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Artikel 30

Kvalificerede systemer til generering af elektroniske segl

1. Artikel 22 finder tilsvarende anvendelse, for så vidt angår for kravene til kvalificerede systemer til generering af elektroniske segl.

2. Artikel 23 finder tilsvarende anvendelse, for så vidt angår certificering af kvalificerede systemer til generering af elektroniske segl.

3. Artikel 24 finder tilsvarende anvendelse, for så vidt angår offentliggørelse af en liste over certificerede kvalificerede systemer til generering af elektroniske segl.

Artikel 31

Validering og bevaring af kvalificerede elektroniske segl

Artikel 25, 26 og 27 finder tilsvarende anvendelse, for så vidt angår validering og bevaring af kvalificerede elektroniske segl.

Afdeling 5

Elektronisk tidsstempel

Artikel 32

Retsvirkninger af elektroniske tidsstempler

1. Et elektronisk tidsstempel må ikke nægtes retlig gyldighed og anerkendelse som bevis under retssager alene af den grund, at det er i elektronisk form.

2. Når et elektronisk tidsstempel har status som kvalificeret, gælder der efter loven en formodning om, at tidsstemplet giver sikkerhed for det tidspunkt, som det angiver, og integriteten af de data, som tidsangivelsen er knyttet til.

3. Et kvalificeret elektronisk tidsstempel skal anerkendes og accepteres i alle medlemsstater.

Artikel 33

Krav til kvalificerede elektroniske tidsstempler

1. Kvalificerede elektroniske tidsstempler skal opfylde følgende krav:

a)           de skal være nøjagtigt forbundet med UTC (Coordinated Universal Time) på en sådan måde, at det er umuligt at ændre dataene, uden at det opdages

b)           de skal bygge på en præcis tidskilde

c)           de skal være udstedt af en kvalificeret tillidstjenesteyder

d)           de skal være forsynet med den kvalificerede tillidstjenesteyders avancerede elektroniske signatur eller avancerede elektroniske segl eller et tilsvarende middel.

2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for nøjagtig sammenkædning af tidspunkt og data og for brug af en nøjagtig tidskilde. Et kvalificeret tidsstempel, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Afdeling 6

Elektroniske dokumenter

Artikel 34

Retsvirkninger og accept af elektroniske dokumenter

1. Et elektronisk dokument anses for fuldstændig ligestillet med papirudgaven af samme dokument og kan godtages som bevismateriale under retssager under hensyntagen til graden af sikkerhed for dokumentets ægthed og integritet.

2. Med hensyn til et dokument, der bærer en kvalificeret elektronisk signatur eller et kvalificeret elektronisk segl, som tilhører en person, der har kompetence til at udstede det pågældende dokument, gælder der efter loven en formodning om ægthed og integritet, forudsat at dokumentet ikke indeholder dynamiske elementer, der automatisk kan ændre dokumentet.

3. Når der skal forelægges et originaldokument eller en bekræftet genpart som forudsætning for, at der kan leveres en tjeneste, der tilbydes online af et offentligt organ, skal som minimum elektroniske dokumenter, der er udstedt af personer med kompetence hertil, og som anses for originaler eller bekræftede genparter i henhold til national ret i oprindelsesmedlemsstaten, accepteres i andre medlemsstater, uden at der stilles yderligere krav.

4. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater for elektroniske signaturer og segl, der skal accepteres, når en medlemsstat kræver et underskrevet eller forseglet dokument som forudsætning for, at der kan leveres en tjeneste, der tilbydes online af et offentligt organ, jf. stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.

Afdeling 7

Kvalificeret elektronisk leveringstjeneste

Artikel 35

Retsvirkning af elektroniske leveringstjenester

1. Data, der sendes eller modtages via en elektronisk leveringstjeneste, kan godtages som bevismateriale under retssager, for så vidt angår dataenes integritet og sikkerheden for den dato og det tidspunkt, hvor dataene blev sendt til eller modtaget af en bestemt adressat.

2. Med hensyn til data, der sendes eller modtages via en kvalificeret elektronisk leveringstjeneste, gælder der efter loven en formodning om dataenes integritet og nøjagtigheden af den dato og det tidspunkt for afsendelse eller modtagelse af dataene, som den kvalificerede elektroniske leveringstjeneste angiver.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med det formål at specificere, hvilke mekanismer til at sende og modtage data via elektroniske leveringstjenester der skal bruges for at fremme interoperabilitet mellem elektroniske leveringstjenester.

Artikel 36

Krav til kvalificerede elektroniske leveringstjenester

1. Kvalificerede elektroniske leveringstjenester skal opfylde følgende krav:

a)           de skal stilles til rådighed af en eller flere kvalificerede tillidstjenesteydere

(a) b)       de skal tillade entydig identifikation af afsenderen og, om relevant, af modtageren

c)           dataafsendelses- og ‑modtagelsesprocessen skal være beskyttet af den kvalificerede tillidstjenesteyders avancerede elektroniske signatur eller avancerede elektroniske segl på en sådan måde, at det er umuligt at ændre dataene, uden at det opdages

d)           hvis det er nødvendigt at ændre dataene, for at de kan sendes eller modtages, skal dette angives klart over for afsenderen og modtageren af dataene

e)           datoen for afsendelse, modtagelse og en eventuel ændring af data skal fremgå ved hjælp af et kvalificeret elektronisk tidsstempel

f)            hvis dataene overføres mellem to eller flere kvalificerede tillidstjenesteydere, gælder kravene i litra a) – e) for samtlige kvalificerede tillidstjenesteydere.

2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for dataafsendelses- og ‑modtagelsesprocesser. En dataafsendelses- og ‑modtagelsesproces, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

Afdeling 8

Webstedsautentifikation

Artikel 37

Krav til kvalificerede certifikater for webstedsautentifikation

1. Kvalificerede certifikater for webstedsautentifikation skal opfylde kravene i bilag IV.

2. Kvalificerede certifikater for webstedsautentifikation skal anerkendes og accepteres i alle medlemsstater.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med det formål at uddybe kravene i bilag IV.

4. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede certifikater for webstedsautentifikation. Et kvalificeret certifikat for webstedsautentifikation, der opfylder disse standarder, formodes at overholde kravene i bilag IV. Kommissionens gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2. Kommissionen offentliggør disse retsakter i Den Europæiske Unions Tidende.

KAPITEL IV

DELEGEREDE RETSAKTER

Artikel 38

Udøvelse af de delegerede beføjelser

1. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter på de i denne artikel fastlagte betingelser.

2. Beføjelsen til at vedtage delegerede retsakter som nævnt i artikel 8, stk. 3, artikel 13, stk. 5, artikel 15, stk. 5, artikel 16, stk. 5, artikel 18, stk. 5, artikel 20, stk. 6, artikel 21, stk. 4, artikel 23, stk. 3, artikel 25, stk. 2, artikel 27, stk. 2, artikel 28, stk. 6, artikel 29, stk. 4, artikel 30, stk. 2, artikel 31, artikel 35, stk. 3 og artikel 37, stk. 3, tillægges Kommissionen for en ubegrænset periode fra datoen for denne forordnings ikrafttræden.

3. Den i artikel 8, stk. 3, artikel 13, stk. 5, artikel 15, stk. 5, artikel 16, stk. 5, artikel 18, stk. 5, artikel 20, stk. 6, artikel 21, stk. 4, artikel 23, stk. 3, artikel 25, stk. 2, artikel 27, stk. 2, artikel 28, stk. 6, artikel 29, stk. 4, artikel 30, stk. 2, artikel 31, artikel 35, stk. 3 og artikel 37, stk. 3, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Afgørelsen får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

5. En delegeret retsakt vedtaget i henhold til artikel 8, stk. 3, artikel 13, stk. 5, artikel 15, stk. 5, artikel 16, stk. 5, artikel 18, stk. 5, artikel 20, stk. 6, artikel 21, stk. 4, artikel 23, stk. 3, artikel 25, stk. 2, artikel 27, stk. 2, artikel 28, stk. 6, artikel 29, stk. 4, artikel 30, stk. 2, artikel 31, artikel 35, stk. 3, eller artikel 37, stk. 3, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på 2 måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Denne frist forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

KAPITEL V

GENNEMFØRELSESRETSAKTER

Artikel 39

Udvalgsprocedure

1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som defineret i forordning (EU) nr. 182/2011.

2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) 182/2011 anvendelse.

KAPITEL VI

AFSLUTTENDE BESTEMMELSER

Artikel 40

Rapport

Kommissionen aflægger rapport til Europa-Parlamentet og Rådet om anvendelsen af denne forordning. Den første rapport forelægges senest fire år efter forordningens ikrafttræden. Efterfølgende rapporter forelægges hvert fjerde år derefter.

Artikel 41

Ophævet retsakt

1. Direktiv 1999/93/EF ophæves.

2. Henvisninger til det ophævede direktiv betragtes som henvisninger til nærværende forordning.

3. Sikre signaturgenereringssystemer, hvis opfyldelse af kravene er fastslået i overensstemmelse med artikel 3, stk. 4, i direktiv 1999/93/EF, anses for kvalificerede systemer til generering af elektroniske signaturer i henhold til nærværende forordning.

4. Kvalificerede certifikater, der er udstedt i henhold til direktiv 1999/93/EF, anses for kvalificerede certifikater for elektroniske signaturer i henhold til nærværende forordning, indtil de udløber, dog højst i fem år regnet fra forordningens ikrafttræden.

Artikel 42

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den .

På Europa-Parlamentets vegne                    På Rådets vegne

Formand                                                        Formand

BILAG I

Krav til kvalificerede certifikater for elektroniske signaturer

Kvalificerede certifikater for elektroniske signaturer skal indeholde:

a)           en angivelse – som minimum i en form, der egner sig til automatiseret behandling – af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk signatur

b)           et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteyder, som udsteder de kvalificerede certifikater, herunder som minimum oplysning om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og

– for en juridisk person: navn og registreringsnummer, som det fremgår af det officielle register

– for en fysisk person: personens navn

c)           et sæt data, der entydigt repræsenterer den underskriver, som certifikatet er udstedt til, herunder som minimum underskriverens navn eller pseudonym; i sidstnævnte tilfælde skal det fremgå, at der er tale om et pseudonym

d)           de valideringsdata for den elektroniske signatur, som svarer til dataene til generering af den elektroniske signatur

e)           certifikatets ikrafttrædelses- og udløbsdato

f)            certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteyder

g)           den udstedende kvalificerede tillidstjenesteyders avancerede elektroniske signatur eller avancerede elektroniske segl

h)           oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt

i)            oplysninger om, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus

j)            hvis de data til generering af den elektroniske signatur, der svarer til valideringsdataene for den elektroniske signatur, befinder sig i et kvalificeret system til generering af elektroniske signaturer: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.

BILAG II

Krav til kvalificerede systemer til generering af elektroniske signaturer

1. Kvalificerede systemer til generering af elektroniske signaturer skal ved hjælp af passende tekniske og proceduremæssige midler som minimum sikre, at:

a)           de data, der anvendes til generering af en elektronisk signatur, forbliver hemmelige

b)           de data, der anvendes til generering af en elektronisk signatur, kun kan fremtræde én gang

c)           de data, der anvendes til generering af en elektronisk signatur, med rimelig sikkerhed ikke kan udledes, og at den elektroniske signatur er beskyttet mod forfalskning under anvendelse af eksisterende teknologi

d)           de data, der anvendes til generering af en elektronisk signatur, på pålidelig vis kan beskyttes af den retmæssige underskriver mod andres brug.

2. Kvalificerede systemer til generering af elektroniske signaturer må ikke ændre de data, som skal underskrives, eller hindre, at disse data vises for underskriveren forud for signaturprocessen.

3. Generering og forvaltning af data til generering af elektroniske signaturer på underskriverens vegne skal udføres af en kvalificeret tillidstjenesteyder.

4. Kvalificerede tillidstjenesteydere, der forvalter data til generering af elektroniske signaturer på underskriverens vegne, må kopiere disse data til backupformål, forudsat at følgende betingelser er opfyldt:

a)           der skal opretholdes samme niveau af sikkerhed for kopierede datasæt som for originaldatasættene

b)           antallet af kopierede datasæt må ikke overstige det minimum, der er nødvendigt for at sikre tjenestens kontinuitet.

BILAG III

Krav til kvalificerede certifikater for elektroniske segl

Kvalificerede certifikater for elektroniske segl skal indeholde:

a)           en angivelse – som minimum i en form, der egner sig til automatiseret behandling – af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk segl

b)           et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteyder, som udsteder de kvalificerede certifikater, herunder som minimum oplysning om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og

– for en juridisk person: navn og registreringsnummer, som det fremgår af det officielle register

– for en fysisk person: personens navn

c)           et sæt data, der entydigt repræsenterer den juridiske person, som certifikatet er udstedt til, herunder som minimum navn og registreringsnummer, som det fremgår af det officielle register

d)           de valideringsdata for det elektroniske segl, som svarer til dataene til generering af det elektroniske segl

e)           certifikatets ikrafttrædelses- og udløbsdato

f)            certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteyder

g)           den udstedende kvalificerede tillidstjenesteyders avancerede elektroniske signatur eller avancerede elektroniske segl

h)           oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt

i)            oplysninger om, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus

j)            hvis de data til generering af det elektroniske segl, der svarer til valideringsdataene for det elektroniske segl, befinder sig i et kvalificeret system til generering af elektroniske segl: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.

BILAG IV

Krav til kvalificerede certifikater for webstedsautentifikation

Kvalificerede certifikater for webstedsautentifikation skal indeholde:

a)           en angivelse – som minimum i en form, der egner sig til automatiseret behandling – af, at certifikatet er udstedt som et kvalificeret certifikat for webstedsautentifikation

b)           et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteyder, som udsteder de kvalificerede certifikater, herunder som minimum oplysning om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og

– for en juridisk person: navn og registreringsnummer, som det fremgår af det officielle register

– for en fysisk person: personens navn

c)           et sæt data, der entydigt repræsenterer den juridiske person, som certifikatet er udstedt til, herunder som minimum navn og registreringsnummer, som det fremgår af det officielle register

d)           adresseoplysninger, herunder som minimum oplysninger om by og medlemsstat, for den juridiske person, som certifikatet er udstedt til, som de fremgår af det officielle register

e)           navnet på det eller de domæner, der drives af den juridiske person, som certifikatet er udstedt til

f)            certifikatets ikrafttrædelses- og udløbsdato

g)           certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteyder

h)           den udstedende kvalificerede tillidstjenesteyders avancerede elektroniske signatur eller avancerede elektroniske segl

i)            oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra h), er gratis tilgængeligt

j)            oplysninger om, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus.

FINANSIERINGSOVERSIGT

1.           FORSLAGETS/INITIATIVETS RAMME

Denne finansieringsoversigt gør rede for behovet for administrative udgifter til gennemførelse af den foreslåede forordning om elektroniske identifikationstjenester og tillidstjenester til brug for elektroniske transaktioner på det indre marked.

Efter lovgivningsproceduren og drøftelserne med henblik på Europa-Parlamentets og Rådets vedtagelse af forordningsforslaget har Kommissionen brug for 12 FTE til at udarbejde de tilhørende delegerede retsakter og gennemførelsesretsakter, sikre, at der er organisatoriske og tekniske standarder til rådighed, behandle medlemsstaternes anmeldelser af identifikationsordninger og ajourføre positivlisterne, sikre, at interesseparterne – især borgerne og SMV'er – bliver klar over fordelene ved at anvende elektronisk identifikation, autentifikation, signaturer og tilhørende tillidstjenester (eIAS) og indlede drøftelser med tredjelande for at opnå eIAS-interoperabilitet på verdensplan.

1.1.        Forslagets/initiativets betegnelse

Kommissionens forslag til en forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked

1.2.        Berørt(e) politikområde(r) i ABM/ABB-strukturen[25]

09 INFORMATIONSSAMFUNDET

1.3.        Forslagets/initiativets art

¨ Forslaget/initiativet drejer sig om en ny foranstaltning

¨ Forslaget/initiativet drejer sig om en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende foranstaltning[26]

¨ Forslaget/initiativet drejer sig om forlængelse af en eksisterende foranstaltning

þ Forslaget/initiativet drejer sig om omlægning af en foranstaltning til en ny foranstaltning

1.4.        Mål

1.4.1.     Det eller de af Kommissionens flerårige strategiske mål, som forslaget/initiativet vedrører

De overordnede mål for forslaget svarer til målene for de overordnede EU-politikker, som forslaget indgår i, herunder Europa 2020-strategien, der sigter mod at omdanne EU til en intelligent, bæredygtig og inklusiv økonomi, der giver høj beskæftigelse, produktivitet og social samhørighed.

1.4.2.     Specifikke mål og berørte ABM/ABB-aktiviteter

At øge tilliden til europadækkende elektroniske transaktioner og sikre grænseoverskridende retlig anerkendelse af elektroniske identifikations-, autentifikations- og signaturtjenester samt tilhørende tillidstjenester og at tilvejebringe en høj grad af databeskyttelse og myndiggørelse af brugerne på det indre marked (se den digitale dagsorden for Europa, nøgletiltag 3 og 16).

Berørte ABM/ABB-aktiviteter

09 02 - Lovgrundlaget for den digitale dagsorden

1.4.3.     Forventede resultater og virkninger

Angiv, hvilke virkninger forslaget/initiativet forventes at få for modtagerne/målgruppen.

At der skabes klare lovrammer for elektroniske identifikations-, autentifikations- og signaturtjenester, der gør livet nemmere for brugerne og øger deres tillid til den digitale verden.

1.4.4.     Virknings- og resultatindikatorer

Angiv indikatorerne til kontrol af forslagets/initiativets gennemførelse.

1. Forekomsten af eIAS-leverandører, der driver virksomhed i flere EU-medlemsstater

2. Graden af interoperabilitet mellem forskellige systemer (f.eks. smartkortlæsere) på tværs af sektorer og landegrænser

3. Brugen af eIAS i alle kategorier af befolkningen

4. I hvor høj grad eIAS bruges af slutbrugere til indenlandske og internationale (grænseoverskridende) transaktioner

5. Graden af harmonisering af lovgivningen om eIAS mellem medlemsstaterne

6. Antallet af elektroniske identifikationsordninger, der anmeldes til Kommissionen

7. Antallet af tjenester, der er tilgængelige ved hjælp af anmeldte elektroniske identifikationsmidler i den offentlige sektor (f.eks. e-forvaltningstjenester, e-sundhedstjenester, e-tjenester vedrørende retlige anliggender og offentlige e-indkøb

8. Antallet af tjenester, der er tilgængelige ved hjælp af anmeldte elektroniske identifikationsmidler i den private sektor (f.eks. netbank, e-handel, e-hasardspil, tilmelding på websteder, sikrere internettjenester).

1.5.        Forslagets/initiativets begrundelse

1.5.1.     Behov, der skal opfyldes på kort eller lang sigt

De divergerende nationale foranstaltninger til gennemførelse af direktivet om elektroniske signaturer, der skyldes forskellige fortolkninger i medlemsstaterne, hindrer interoperabilitet på tværs af grænserne og fører til opsplitning og forvridninger på det indre marked. Samtidig hersker der manglende tillid til de elektroniske systemer, som afholder de europæiske borgere fra at drage fordel af de samme slags tjenester i den digitale verden som i den fysiske verden.

1.5.2.     Merværdien ved en indsats fra EU's side

En indsats på EU-plan har klare fordele sammenlignet med foranstaltninger på medlemsstatsplan. Erfaringerne har vist, at nationale foranstaltninger ikke er tilstrækkelige til at sikre, at der kan gennemføres elektroniske transaktioner på tværs af grænserne. Tværtimod har de skabt hindringer for EU-dækkende interoperabilitet mellem elektroniske signaturer og medfører nu samme problemer for elektronisk identifikation, autentifikation og tilknyttede tillidstjenester.

1.5.3.     Erfaringer fra lignende foranstaltninger

Forslaget bygger på erfaringerne med direktivet om elektroniske signaturer og de problemer, der har været på grund af den uensartede gennemførelse og anvendelse af direktivet, som har forhindret det i at nå sine mål.

1.5.4.     Sammenhæng med andre relevante instrumenter og eventuel synergivirkning

Der henvises til direktivet om elektroniske signaturer i en række andre EU-initiativer, der er iværksat for at løse problemerne med den manglende interoperabilitet og grænseoverskridende anerkendelse og accept i forbindelse med visse typer elektroniske interaktioner, f.eks. tjenesteydelsesdirektivet, direktiverne om offentlige indkøb, det reviderede momsdirektiv (e-fakturering) og forordningen om borgerinitiativer.

Desuden vil den foreslåede forordning danne en juridisk ramme, som vil fremme en almen udbredelse af resultaterne af de storstilede pilotprojekter, der er iværksat på EU-plan for at støtte udviklingen af interoperable og pålidelige elektroniske kommunikationsmidler (bl.a. SPOCS, der støtter gennemførelsen af tjenesteydelsesdirektivet, STORK, der støtter udvikling og brug af interoperable elektroniske identifikationsmidler, PEPPOL, der støtter udvikling og brug af interoperable elektroniske løsninger til offentlige indkøb, epSOS, der støtter udvikling og brug af interoperable løsninger inden for e-sundhed og eCodex, der støtter udvikling og brug af interoperable elektroniske løsninger til retsvæsenet.

1.6.        Varighed og finansielle virkninger

¨ Forslag/initiativ af begrænset varighed

– ¨  Forslag/initiativ gældende fra [DD/MM]ÅÅÅÅ til [DD/MM]ÅÅÅÅ

– ¨  Finansielle virkninger fra ÅÅÅÅ til ÅÅÅÅ

þ (Forslag/initiativ af ubegrænset varighed

1.7.        Påtænkt (e) forvaltningsmetode(r)[27]

þ Direkte central forvaltning ved Kommissionen

¨ Indirekte central forvaltning ved uddelegering af gennemførelsesopgaver til:

– ¨  gennemførelsesorganer

– ¨  organer oprettet af Fællesskaberne[28]

– ¨  nationale offentligretlige organer/organer med offentlige tjenesteydelsesopgaver

– ¨  personer, som har fået pålagt at gennemføre specifikke aktioner i henhold til afsnit V i traktaten om Den Europæiske Union, og som er identificeret i den relevante basisretsakt, jf. finansforordningens artikel 49

¨ Delt forvaltning sammen med medlemsstaterne

¨ Decentral forvaltning sammen med tredjelande

¨ Fælles forvaltning sammen med internationale organisationer (angives nærmere)

Hvis der angives flere forvaltningsmetoder, gives der en nærmere forklaring i afsnittet "Bemærkninger".

Bemærkninger

[//]

2.           FORVALTNINGSFORANSTALTNINGER

2.1.        Bestemmelser om kontrol og rapportering

Angiv hyppighed og betingelser.

Den første evaluering gennemføres fire år efter forordningens ikrafttræden. Forordningen indeholder en eksplicit bestemmelse om rapportering, ifølge hvilken Kommissionen skal aflægge rapport til Europa-Parlamentet og Rådet om forordningens anvendelse. Efterfølgende rapporter forelægges hvert fjerde år derefter. Kommissionens evalueringsmetode anvendes. Evalueringerne gennemføres ved hjælp af målrettede undersøgelser af gennemførelsen af de retlige instrumenter, spørgeskemaer til nationale myndigheder, ekspertdrøftelser, workshopper, Eurobarometerundersøgelser osv.

2.2.        Forvaltnings- og kontrolsystem

2.2.1.     Konstaterede risici

Der er foretaget en konsekvensanalyse, der ledsager forordningsforslaget. Den nye retsakt vil danne grundlag for gensidig anerkendelse og accept af elektronisk identifikation på tværs af grænserne, forbedre de nuværende rammer for elektroniske signaturer, styrke medlemsstaternes tilsyn med udbydere af tillidstjenester og give de pågældende tillidstjenester retsvirkning og retlig anerkendelse. Den indfører også brug af delegerede retsakter og gennemførelsesretsakter som et middel til at sikre fleksibilitet over for den teknologiske udvikling.

2.2.2.     Påtænkt(e) kontrolmetode(r)

De yderligere bevillinger vil blive underkastet kontrol efter de eksisterende kontrolmetoder, som Kommissionen anvender.

2.3.        Foranstaltninger til forebyggelse af svig og uregelmæssigheder

Angiv eksisterende og påtænkte forebyggelses- og beskyttelsesforanstaltninger.

De yderligere bevillinger vil være omfattet af de eksisterende foranstaltninger til forebyggelse af svig, som Kommissionen anvender.

3.           FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER

3.1.        Berørt(e) udgiftspost(er) på budgettet og udgiftsområde(r) i den flerårige finansielle ramme

· Eksisterende udgiftsposter på budgettet

I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne.

Udgiftsområde i den flerårige finansielle ramme || Budgetpost || Udgiftens art || Bidrag

Nummer [Betegnelse…...….] || OB/IOB[29] || fra EFTA-lande[30] || fra kandidat-lande[31] || fra tredje­lande || iht. finansforordningens artikel 18, stk. 1, litra aa)

5 || 09. 01 01 01 Udgifter vedrørende tjenstgørende personale i Generaldirektoratet for Informationssamfundet og Medier || OB/IOB || NEJ || NEJ || NEJ || NEJ

5 || 09. 01 02 01 Eksternt personale || OB/IOB || NEJ || NEJ || NEJ || NEJ

3.2.        Anslåede virkninger for udgifterne

3.2.1.     Sammenfatning af de anslåede virkninger for udgifterne

Udgiftsområde i den flerårige finansielle ramme: || Nummer || [Udgiftsområde 1. Intelligent og inklusiv vækst ……………...……………………………………………………………….]

GD: INFSO || || || År 2014 || År  2015 || År 2016 || År 2017 || År  2018 || År  2019 || År  2020 || I ALT

Ÿ Aktionsbevillinger || || || || || || || ||

Budgetpostens nummer – ikke relevant || Forpligtelser || (1) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Betalinger || (2) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Budgetpostens nummer – ikke relevant || Forpligtelser || (1a) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Betalinger || (2a) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Administrationsbevillinger finansieret  over bevillingsrammen for særprogrammer[32] || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Budgetpostens nummer || || (3) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Bevillinger I ALT til GD INFSO || Forpligtelser || =1+1a +3 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Betalinger || =2+2a +3 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Udgiftsområde i den flerårige finansielle ramme: || 5 || Administration

i mio. EUR (tre decimaler)

|| || || År 2014 || År 2015 || År 2016 || År 2017 || År  2018 || År  2019 || År  2020 || I ALT

GD: INFSO

Ÿ Menneskelige ressourcer || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Ÿ Andre administrationsudgifter || || || || || || || ||

I ALT GD INFSO || Bevillinger || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Bevillinger I ALT under UDGIFTSOMRÅDE 5 i den flerårige finansielle ramme || (Forpligtelser i alt = betalinger i alt) || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

i mio. EUR (tre decimaler)

|| || || År 2014 || År 2015 || År 2016 || År 2017 || År 2018 || År 2019 || År  2020 || I ALT

Bevillinger I ALT under UDGIFTSOMRÅDE 1-5 i den flerårige finansielle ramme || Forpligtelser || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Betalinger || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

3.2.2.     Anslåede virkninger for aktionsbevillingerne

– þ  Forslaget/initiativet medfører ikke anvendelse af aktionsbevillinger.

– ¨  Forslaget/initiativet medfører anvendelse af aktionsbevillinger som anført herunder:

3.2.3.     Anslåede virkninger for administrationsbevillingerne

3.2.3.1.  Resumé

– ¨  Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger.

– þ  Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

|| År 2014 || År 2015 || År 2016 || År 2017 || År  2018 || År  2019 || År  2020 || I ALT

UDGIFTS­OMRÅDE 5 i den flerårige finansielle ramme || || || || || || || ||

Menneskelige ressourcer || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Andre administrationsudgifter || || || || || || || ||

Subtotal UDGIFTSOMRÅDE 5 i den flerårige finansielle ramme || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Uden for UDGIFTSOMRÅDE 5[33] i den flerårige finansielle ramme || || || || || || || ||

Menneskelige ressourcer || || || || || || || ||

Andre administrationsudgifter || || || || || || || ||

Subtotal Uden for UDGIFTSOMRÅDE 5 i den flerårige finansielle ramme || || || || || || || ||

I ALT || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

3.2.3.2.  Anslået behov for menneskelige ressourcer

– ¨  Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer

– þ  Forslaget/initiativet medfører anvendelse af menneskelige ressourcer som anført herunder:

Overslag angives i hele tal (eller med højst én decimal)

|| År 2014 || År 2015 || År  2016 || År 2017 || År 2018 || År 2019 || År 2020

Ÿ Stillinger i stillingsfortegnelsen (tjenestemænd og midlertidigt ansatte)

09 01 01 01 (i hovedsædet og i Kommissionens repræsentationskontorer) || 9 || 9 || 9 || 9 || 9 || 9 || 9

XX 01 01 02 (i delegationer) || || || || || || ||

XX 01 05 01 (indirekte forskning) || || || || || || ||

10 01 05 01 (direkte forskning) || || || || || || ||

Ÿ Eksternt personale (i fuldtidsækvivalenter: FTE)[34]

09 01 02 01 (KA, V og UNE under den samlede bevillingsramme) || 3 || 3 || 3 || 3 || 3 || 3 || 3

XX 01 02 02 (KA, V, UED, LA og UNE i delegationerne) || || || || || || ||

XX 01 04 yy[35] || - i hovedsædet[36] || || || || || || ||

- i delegationerne || || || || || || ||

XX 01 05 02 (KA, V, UNE – indirekte forskning) || || || || || || ||

10 01 05 02 (KA, V, UNE - direkte forskning) || || || || || || ||

Andre budgetposter (skal angives) || || || || || || ||

I ALT || 12 || 12 || 12 || 12 || 12 || 12 || 12

Personalebehovet vil blive dækket ved hjælp af det personale, som GD'et allerede har afsat til aktionen, og/eller interne rokader i GD'et, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige GD i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

Opgavebeskrivelse:

Tjenestemænd og midlertidigt ansatte || Forvaltning af lovgivningsprocedurerne med henblik på Europa-Parlamentets og Rådets vedtagelse af den planlagte forordning og dertil hørende delegerede retsakter og gennemførelsesretsakter. Vigtigste indsatsområder: 1.    at skabe en ny lovramme for elektroniske tillidstjenester 2.    at fremme udbredelsen af elektroniske tillidstjenester ved at skabe øget bevidsthed om deres potentiale blandt SMV'erne og borgerne 3.    at følge op på direktiv 1999/93/EF, herunder internationale aspekter 4.    at fremskynde den konkrete gennemførelse af målet for den nye lovramme ved hjælp af storstilede pilotprojekter.

Eksternt personale || Samme opgaver som ovenfor

3.2.4.     Forenelighed med indeværende flerårige finansielle ramme

– þ  Forslaget/initiativet er foreneligt med indeværende flerårige finansielle ramme.

– ¨  Forslaget/initiativet kræver omlægning af det relevante udgiftsområde i den flerårige finansielle ramme.

Der redegøres for omlægningen med angivelse af de berørte budgetposter og beløbenes størrelse.

– ¨  Forslaget/initiativet kræver, at fleksibilitetsinstrumentet anvendes, eller at den flerårige finansielle ramme revideres[37].

Der redegøres for behovet med angivelse af de berørte udgiftsområder og budgetposter og beløbenes størrelse.

3.2.5.     Tredjemands bidrag til finansieringen

– þ Forslaget/initiativet indeholder ikke bestemmelser om samfinansiering med tredjemand.

– ¨ Forslaget/initiativet indeholder bestemmelser om samfinansiering, jf. følgende overslag:

3.3.        Anslåede virkninger for indtægterne

– þ  Forslaget/initiativet har ingen finansielle virkninger for indtægterne.

– ¨  Forslaget/initiativet har følgende finansielle virkninger:

· ¨            for egne indtægter

· ¨            for diverse indtægter

[1]               KOM(2010) 245 of 19.5.2010.

[2]               KOM(2011) 206 endelig af 13.4.2011

[3]               KOM(2011) 669 endelig af 12.10.2011.

[4]               EFT L 13 af 19.1.2000, s. 12.

[5]               For detaljer vedrørende høringerne, se http://ec.europa.eu/information_society/policy/esignature/eu_legislation/revision

[6]               Der blev afholdt en workshop for interessenter den 10. marts 2011 med repræsentanter fra den offentlige og den private sektor samt akademiske kredse for at diskutere, hvilke retlige tiltag der skal til for at løfte de udfordringer, vi står over for. Formålet med dette interaktive forum var at udveksle synspunkter og påpege de forskellige holdninger, der kom til udtryk under den offentlige høring. Flere organisationer sendte spontant positionspapirer.

[7]               Det polske EU-formandskab organiserede et møde med medlemsstaterne i Warszava om elektroniske signaturer den 9. november 2011 og om elektronisk identifikation i Poznan den 17. november 2011. Den 25. november 2011 afholdt Kommissionen en workshop med medlemsstaterne for at drøfte de uløste problemer vedrørende elektronisk identifikation, autentifikation og signatur.

[8]               Hvad angår det første aspekt blev der undersøgt fire muligheder: ophævelse af direktivet om e-signaturer; ingen ændring: fremme af retssikkerheden, styrkelse af koordinationen af de nationale tilsyn og gensidig anerkendelse og accept af elektronisk identifikation i hele EU samt for det fjerde, udvidelse af lovrammen til at omfatte visse relaterede tillidstjenester. I forbindelse med det andet aspekt vurderede man de relative fordele ved at lovgive ved hjælp af en eller to retsakter, og om der skulle benyttes et direktiv eller en forordning. Under det tredje aspekt undersøgte man muligheden for at iværksætte nationale tilsynsordninger baseret på fælles grundlæggende tilsynskrav sammenlignet med et EU-baseret tilsynssystem. Med hjælp fra en gruppe, hvor alle berørte generaldirektorater i Kommissionen var repræsenteret, blev hver enkelt løsningsmulighed vurderet med hensyn til muligheden for effektivt at nå de politiske mål, de økonomiske virkninger for interesseparterne (herunder EU-institutionernes budget), de sociale og miljømæssige virkninger samt virkningerne for den administrative byrde.

[9]               Meddelelse fra Kommissionen: Europa 2020: En strategi for intelligent, bæredygtig og inklusiv vækst, KOM(2010) 2020 af 3.3.2010.

[10]             Positivlister som omhandlet i Kommissionens afgørelse 2009/767/EF som ændret ved Kommissionens beslutning 2010/425/EU vil danne grundlag for en ny Kommissionsafgørelse om positivlister i medfør af denne forordning.

[11]             EUT C ... af ..., s. …

[12]             EUT C ... af ..., s. …

[13]             EUT L 13 af 19.1.2000, s. 12.

[14]             KOM(2010) 245 endelig/2.

[15]             Rapport om unionsborgerskab 2010: Afskaffelse af hindringerne for unionsborgernes rettigheder, KOM(2010) 603 endelig, afsnit 2.2.2, s. 14.

[16]             4/2/2011: EUCO 2/1/11.

[17]             23/10/2011: EUCO 52/1/11.

[18]             Rådets konklusioner om EU's handlingsplan for e-forvaltning 2011-2015, 3093. møde i Rådet om transport, telekommunikation og energi, Bruxelles, den 27. maj 2011.

[19]             Europa-Parlamentets beslutning af 21. september 2010 om endelig gennemførelse af det indre marked for e-handel, 21.9.10, P7_TA(2010)0320, og Europa-Parlamentets beslutning af 15. juni 2010 om forvaltning af internettet: de næste skridt, P7_TA(2010)0208.

[20]             EUT L 376 af 27.12.2006, s. 36.

[21]             EUT L 88 af 4.4.2011, s. 45.

[22]             EFT L 281 af 23.11.1995, s. 31.

[23]             EUT L 274 af 20.10.2009, s. 36.

[24]             EUT L 55 af 28.2.2011, s. 13.

[25]             ABM: Activity-Based Management (aktivitetsbaseret ledelse) – ABB: Activity-Based Budgeting (aktivitetsbaseret budgetlægning).

[26]             Jf. artikel 49, stk. 6, litra a) og b), i finansforordningen.

[27]             Forklaringer vedrørende forvaltningsmetoder og henvisninger til finansforordningen findes på webstedet BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[28]             Organer omhandlet i finansforordningens artikel 185.

[29]             OB = opdelte bevillinger / OIB = ikke opdelte bevillinger.

[30]             EFTA: Den Europæiske Frihandelssammenslutning.

[31]             Kandidatlande og, efter omstændighederne, potentielle kandidatlande på Vestbalkan.

[32]             Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.

[33]             Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.

[34]             KA: kontraktansatte, V: vikarer, UED: unge eksperter ved delegationerne, LA= lokalt ansatte, UNE = udstationerede nationale eksperter.

[35]             Delloft for eksternt personale under aktionsbevillingerne (tidligere BA-poster).

[36]             Angår især strukturfonde, Den Europæiske Landbrugsfond for Udvikling af Landdistrikterne (ELFUL) og Den Europæiske Fiskerifond (EFF).

[37]             Jf. punkt 19 og 24 i den interinstitutionelle aftale.