51999AG0028

FÆLLES HOLDNING (EF) Nr. 28/1999

fastlagt af Rådet den 28. juni 1999

med henblik på vedtagelse af Europa-Parlamentets og Rådets direktiv 1999/.../EF om en fællesskabsramme for elektroniske signaturer

(1999/C 243/02)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR -

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 47, stk. 2, artikel 55 og 95,

under henvisning til forslag fra Kommissionen(1),

under henvisning til udtalelse fra Det Økonomiske og Sociale Udvalg(2),

under henvisning til udtalelse fra Regionsudvalget(3),

i henhold til fremgangsmåden i traktatens artikel 251(4), og

ud fra følgende betragtninger:

1) Kommissionen forelagde den 16. april 1997 Europa-Parlamentet, Rådet, Det Økonomiske og Sociale Udvalg og Regionsudvalget en meddelelse med titlen "Et europæisk initiativ indenfor elektronisk handel";

2) Kommissionen forelagde den 8. oktober 1997 Europa-Parlamentet, Rådet, Det Økonomiske og Sociale Udvalg og Regionsudvalget en meddelelse med titlen "Sikkerhed og tillid i elektronisk kommunikation - mod europæiske rammer for digitale signaturer og kryptering";

3) Rådet opfordrede den 1. december 1997 Kommissionen til snarest muligt at forelægge Europa-Parlamentet og Rådet et forslag til direktiv om digitale signaturer;

4) elektronisk kommunikation og handel nødvendiggør elektroniske signaturer og dertil knyttede tjenesteydelser til autentifikation af data; forskellige regler for retlig anerkendelse af elektroniske signaturer og akkreditering af certificeringstjenesteudbydere i medlemsstaterne kan skabe betydelige hindringer for anvendelse af elektronisk kommunikation og elektronisk handel; en klar fællesskabsramme vedrørende betingelserne for elektroniske signaturer vil derimod styrke tilliden til og den generelle accept af de nye teknologier; medlemsstaternes lovgivning bør ikke udgøre en hindring for den frie bevægelighed for varer og tjenesteydelser i det indre marked;

5) elektronisk signatur-produkters interoperabilitet bør fremmes; efter traktatens artikel 14 indebærer det indre marked et område med fri bevægelighed for varer; specifikke væsentlige krav til elektronisk signatur-produkter skal opfyldes for at sikre fri bevægelighed på det indre marked og opbygge tilliden til elektroniske signaturer, jf. dog Rådets forordning (EF) nr. 3381/94 af 19. december 1994 om en fællesskabsordning for kontrol med udførsel af varer med dobbelt anvendelse(5) og afgørelse 94/942/FUSP af 19. december 1994 om en fælles aktion vedtaget af Rådet på grundlag af artikel J.3 i traktaten om Den Europæiske Union vedrørende kontrol med udførslen af varer med dobbelt anvendelse(6);

6) dette direktiv harmoniserer ikke levering af tjenesteydelser med hensyn til informationens fortrolige karakter, hvis disse ydelser er omfattet af nationale bestemmelser om "ordre public" eller offentlig sikkerhed;

7) det indre marked sikrer den fri bevægelighed for personer, hvorfor unionsborgere og andre, der er bosat i EU, i stigende omfang har behov for kontakt med myndigheder i andre medlemsstater end den, hvori de er bosiddende; elektronisk kommunikation vil kunne blive til stor nytte i den forbindelse;

8) den hastige teknologiske udvikling og Internettets globale karakter nødvendiggør, at den valgte metode er åben for forskellige teknologier og tjenester til elektronisk autentifikation af data;

9) elektroniske signaturer vil blive anvendt i mange forskellige situationer og i forbindelse med meget forskellige applikationer, hvilket vil resultere i en lang række nye tjenesteydelser og produkter i relation til elektroniske signaturer; definitionen af sådanne produkter og tjenesteydelser bør ikke begrænses til udstedelse og forvaltning af certifikater, men bør også omfatte alle andre tjenesteydelser eller produkter, der anvender eller understøtter elektroniske signaturer, såsom registreringstjenester, tidsstempling, katalogtjenester, databehandlingstjenester eller konsulenttjenester i forbindelse med elektroniske signaturer;

10) det indre marked giver certificeringstjenesteudbydere mulighed for at udvikle deres aktiviteter hen over grænserne med henblik på at øge deres konkurrenceevne og dermed tilbyde forbrugere og erhvervsliv nye muligheder for sikker elektronisk informationsudveksling og handel uden hensyn til grænser; certificeringstjenesteudbydere bør for at stimulere udbuddet af certificeringstjenesteydelser via åbne net i hele Fællesskabet frit kunne tilbyde deres tjenesteydelser uden for udgående autorisation; ved forudgående autorisation forstås ikke alene enhver tilladelse, hvis udstedelse forudsætter, at de nationale myndigheder træffer en afgørelse, inden certificeringstjenesteudbyderen kan udbyde sine certificeringstjenester, men også enhver anden foranstaltning med samme virkning;

11) frivillige akkrediteringsordninger, hvis sigte er et tjenesteydelsesudbud på et mere avanceret niveau, kunne være den rette ramme for certificeringstjenesteudbyderne til at udvikle deres tjenester yderligere i retning af det tillids-, sikkerheds- og kvalitetsniveau, som et marked i hastig udvikling kræver, sådanne ordninger bør anspore udviklingen af optimal praksis blandt certificeringstjenesteudbydere; det bør stå certificeringstjenesteudbydere frit for, om de ønsker at tilslutte sig og nyde godt af sådanne ordninger;

12) certificeringstjenesterne bør kunne udbydes enten af et offentligt organ eller en fysisk eller juridisk person oprettet i overensstemmelse med national ret; medlemsstaterne bør ikke forhindre certificeringstjenesteudbydere i at holde sig uden for sådanne akkrediteringsordninger; det bør sikres, at frivillige akkrediteringsordninger ikke svækker konkurrencen blandt certificeringstjenester;

13) medlemsstaterne kan selv fastsætte, hvordan de vil sikre overvågningen af overholdelsen af direktivets bestemmelser; dette direktiv er ikke til hinder for indførelsen af overvågningssystemer, der baseres på den private sektor; direktivet forpligter ikke certificeringstjenesteudbyderne til at ansøge om at blive overvåget i henhold til en gældende akkrediteringsordning;

14) det er vigtigt at finde den rigtige balance mellem forbrugernes og erhvervslivets behov;

15) bilag III omfatter krav til sikre signaturgenereringssystemer med henblik på at sikre, at avancerede elektroniske signaturer fungerer hensigtsmæssigt; det omfatter ikke det samlede omgivende miljø, som systemerne opererer i; for at det indre marked kan fungere efter hensigten, er det påkrævet, at Kommissionen og medlemsstaterne handler hurtigt med henblik på at muliggøre udpegelsen af de organer, der skal foretage overensstemmelsesvurderingen af sikre signatursystemer, jf. bilag III; for at imødekomme markedets behov bør overensstemmelsesvurderingen være rettidig og effektiv;

16) dette direktiv bidrager til anvendelse og retlig anerkendelse af elektroniske signaturer i Fællesskabet; der er ikke behov for rammeforskrifter for elektroniske signaturer, der udelukkende anvendes inden for lukkede systemer; elektroniske signaturer, der opfylder de krav, som er fastlagt i dette direktiv, og som anvendes af lukkede brugergrupper, bør dog anerkendes retligt; parternes frihed til indbyrdes af aftale, på hvilke betingelser de vil acceptere elektronisk signerede data, bør respekteres i det omfang, national ret tillader det;

17) det er ikke dette direktivs mål at harmonisere national aftaleret, herunder især regler om kontraktindgåelse og -opfyldelse eller andre ikke-aftaleretlige formkrav vedrørende underskrifter; derfor bør bestemmelserne om elektroniske signaturers retsvirkninger ikke berøre formkrav til indgåelse af kontrakter eller regler til bestemmelse af, hvor en kontrakt er indgået, som er fastsat i national ret;

18) opbevaring og kopiering af signaturgenereringsdata vil kunne udgøre en alvorlig trussel mod elektroniske signaturers juridiske gyldighed;

19) elektroniske signaturer vil blive anvendt i den offentlige sektor inden for nationale forvaltninger og fællesskabsforvaltninger samt i kommunikationen mellem disse og med borgere og erhvervslivet, for eksempel i forbindelse med offentlige indkøb, beskatning, social sikkerhed, sundheds- og retsvæsenet;

20) harmoniserede kriterier vedrørende retsvirkningen af elektroniske signaturer vil gøre det muligt at bevare en sammenhængende retlig ramme i hele Fællesskabet; der er i de nationale lovgivninger fastlagt forskellige krav for at anse håndskrevne underskrifter for juridisk gyldige; certifikater kan anvendes til at certificere identiteten af en person, der underskriver elektronisk; avancerede elektroniske signaturer, som er baseret på kvalificerede certifikater, tilsigter at skabe et højt sikkerhedsniveau; avancerede elektroniske signaturer, som er baseret på kvalificerede certifikater, og som er genereret af et sikkert signaturgenereringssystem, kan kun betragtes som retligt ligestillede med håndskrevne underskrifter, hvis kravene til håndskrevne underskrifter er opfyldt;

21) for at bidrage til at gøre elektroniske certificeringsmetoder almindeligt accepteret, bør det sikres, at elektroniske signaturer kan anvendes som bevis ved retshandlinger i alle medlemsstater; den retlige anerkendelse af elektroniske signaturer bør hvile på objektive kriterier og ikke afhænge af den berørte certificeringstjenesteudbyders eventuelle akkreditering; brugen af elektroniske dokumenter og elektroniske signaturer reguleres i national lovgivning; dette direktiv indskrænker ikke nationale domstoles kompetence til at træffe afgørelse om, hvorvidt kravene i dette direktiv er overholdt, og berører ikke nationale bestemmelser om domstolenes fri bevisbedømmelse;

22) certificeringstjenesteudbydere, der udbyder certificeringstjenester til offentligheden, er underkastet nationale erstatningsansvarsregler;

23) udviklingen i international elektronisk handel kræver grænseoverskridende ordninger, der involverer tredjelande;

24) med henblik på at øge brugernes tillid til elektronisk kommunikation og elektronisk handel skal certificeringstjenesteudbyderne overholde lovgivningen om databeskyttelse og privatlivets fred;

25) bestemmelserne om brug af pseudonymer i certifikater bør ikke være til hinder for, at medlemsstaterne kan håndhæve krav om identifikation af personer i henhold til Fællesskabets lovgivning eller national lovgivning;

26) for så vidt angår gennemførelsen af dette direktiv bør Kommissionen bistås af et forvaltningsudvalg;

27) Kommissionen bør foretage en vurdering af dette direktiv to år efter dets gennemførelse bl.a. med henblik på at sikre, at hverken den teknologiske udvikling eller juridiske ændringer bliver til hinder for opfyldelsen af målene i dette direktiv; Kommissionen bør undersøge virkningerne af beslægtede tekniske områder og forelægge Europa-Parlamentet og Rådet en rapport herom;

28) målsætningen om at skabe en harmoniseret retlig ramme for udbud af elektroniske signaturer og beslægtede tjenester kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan derfor i overensstemmelse med subsidiaritets- og proportionalitetsprincipperne som omhandlet i traktatens artikel 5 bedre gennemføres af Fællesskabet; dette direktiv går ikke ud over, hvad der er nødvendigt for at nå dette mål -

Artikel 1

Anvendelsesområde

Formålet med dette direktiv er at lette brugen af elektroniske signaturer og bidrage til disses retlige anerkendelse. Det fastlægger en retlig ramme for elektroniske signaturer og visse certificeringstjenester, for at det indre marked kan fungere efter hensigten.

Det omfatter ikke aspekter i forbindelse med kontrakters indgåelse og gyldighed eller andre retlige forpligtelser, som ifølge national ret eller fællesskabsret er undergivet formkrav, og det berører heller ikke de regler og begrænsninger, der efter national ret eller fællesskabsret gælder for anvendelsen af dokumenter.

Artikel 2

Definitioner

I dette direktiv forstås ved:

1) "elektronisk signatur": data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre elektroniske data, og som anvendes som en autentifikationsmetode

2) "avanceret elektronisk signatur": en elektronisk signatur, som opfylder følgende krav:

a) den er entydigt knyttet til underskriveren

b) den kan identificere underskriveren

c) den genereres med midler, som underskriveren kan bevare den fulde kontrol med, og

d) den er knyttet til de data, den vedrører, på en sådan måde, at en hvilken som helst senere ændring af disse data kan opdages

3) "underskriver": en person, der besidder et signaturgenereringssystem og handler på egne vegne eller på vegne af den fysiske eller juridiske person eller det organ, som vedkommende repræsenterer

4) "signaturgenereringsdata": unikke data, som f.eks. koder eller private krypteringsnøgler, som anvendes af underskriveren til generering af en elektronisk signatur

5) "signaturgeneringssystem": konfigureret software eller hardware til behandling af signaturgeneringsdata

6) "sikkert signaturgenereringssystem": et signaturgenereringssystem, der opfylder kravene i bilag III

7) "signaturverificeringsdata": data, som f.eks. koder eller offentlige krypteringsnøgler, der anvendes til kontrol af den elektroniske signatur

8) "signaturverificeringsystem": konfigureret software eller hardware til behandling af signaturverificeringsdata

9) "certifikat": en elektronisk attestering, som knytter signaturverificeringsdata til en person og bekræfter denne persons identitet

10) "kvalificeret certifikat": et certifikat, som opfylder kravene i bilag I og leveres af en certificeringstjenesteudbyder, som opfylder kravene i bilag II

11) "certificeringstjenesteudbyder": et organ eller en fysisk eller juridisk person, der udsteder certifikater eller leverer andre tjenesteydelser i forbindelse med elektroniske signaturer

12) "elektronisk signatur-produkt": hardware eller software eller relevante komponenter heraf, som er beregnet til at blive brugt af en certificeringstjenesteudbyder til levering af tjenesteydelser i forbindelse med elektronisk signatur eller beregnet til at blive brugt i forbindelse med generering eller verificering af elektroniske signaturer

13) "frivillig akkreditering": enhver tilladelse, der fastsætter rettigheder og forpligtelser, der er særlige for certificeringstjenester, og som efter anmodning fra den pågældende certificeringstjenesteudbyder tildeles denne af det offentlige eller private organ, der har til opgave at udarbejde og føre tilsyn med overholdelsen af sådanne rettigheder og forpligtelser, og hvor certificeringstjenesteudbyderen ikke er berettiget til at udøve de rettigheder, tilladelsen giver, før denne har modtaget organets afgørelse.

Artikel 3

Markedsadgang

1. Medlemsstaterne må ikke gøre udbud af certificeringstjenesteydelser afhængigt af forudgående autorisation.

2. Med forbehold af stk. 1 kan medlemsstaterne indføre eller opretholde frivillige akkrediteringsordninger med henblik på at højne niveauet for ydelse af certificeringstjenester. Alle vilkår i forbindelse med sådanne ordninger skal være objektive, gennemsigtige, forholdsmæssige og ikke-diskriminerende. Medlemsstaterne kan ikke af årsager, der falder ind under dette direktivs anvendelsesområde, begrænse antallet at akkrediterede certificeringstjenesteudbydere.

3. Medlemsstaterne sikrer, at der indføres et passende system til kontrol af certificeringstjenesteudbydere, der er etableret på deres område, og som udbyder kvalificerede certifikater til offentligheden.

4. Egnede offentlige eller private organer, som udpeges af medlemsstaterne, afgør, om sikre signaturgenereringssystemer opfylder kravene i bilag III. Kommissionen fastlægger efter procedure i artikel 9 kriterier, ud fra hvilke medlemsstaterne afgør, om et organ er egnet til at blive udpeget.

Medlemsstaterne anerkender de afgørelser, som de organer, der er nævnt i første afsnit, træffer for så vidt angår opfyldelsen af kravene i bilag III.

5. Kommissionen kan efter proceduren i artikel 9 fastsætte og i De Europæiske Fællesskabers Tidende offentliggøre referencenumre på almindeligt anerkendte standarder for elektroniske signatur-produkter. Medlemsstaterne formoder, at et elektronisk signatur-produkt overholder kravene i bilag II, litra f), og bilag III, hvis det overholder sådanne standarder.

6. Medlemsstaterne og Kommissionen samarbejder med henblik på at fremme udviklingen og brugen af signaturverificeringssystemer på baggrund af anbefalingerne vedrørende signaturverificering i bilag IV og under hensyn til forbrugernes interesser.

7. Medlemsstaterne kan gøre anvendelse af elektroniske signaturer i den offentlige sektor afhængig af opfyldelsen af eventuelle supplerende krav. Sådanne krav skal være objektive, gennemsigtige, forholdsmæssige og ikke-diskriminerende og må kun være affødt af den pågældende anvendelses særlige karakter. Kravene må ikke hindre grænseoverskridende tjenesteydelser til borgerne.

Artikel 4

Principper vedrørende det indre marked

1. Medlemsstaterne anvender de nationale bestemmelser, de vedtager i henhold til dette direktiv, på certificeringstjenesteudbydere, der er etableret på deres område, og på disses tjenesteydelser. Medlemsstaterne kan ikke på områder, der er omfattet af dette direktiv, pålægge ydelse af certificeringstjenester med oprindelse i en anden medlemsstat begrænsninger.

2. Medlemsstaterne sikrer fri bevægelighed inden for det indre marked for elektroniske signaturprodukter, der overholder bestemmelserne i dette direktiv.

Artikel 5

Retsvirkninger af elektroniske signaturer

1. Medlemsstaterne sikrer, at avancerede elektroniske signaturer, der er baseret på et kvalificeret certifikat, og som er genereret af et sikkert signaturgenereringssystem,

a) opfylder retskravene til en signatur i forbindelse med data i elektronisk form, på samme måde som en håndskreven underskrift opfylder disse krav i forbindelse med papirbaserede data, og

b) kan godtages som bevismateriale under retssager.

2. Medlemsstaterne sikrer, at en elektronisk signatur ikke nægtes retskraft og anerkendelse som bevis under retssager alene af den grund, at den

- er i elektronisk form, eller

- ikke er baseret på et kvalificeret certifikat, eller

- ikke er baseret på et kvalificeret certifikat udstedt af en akkrediteret certificeringstjenesteudbyder, eller

- ikke er genereret af et sikkert signaturgenereringssystem.

Artikel 6

Erstatningsansvar

1. Medlemsstaterne sikrer som et minimum, at en certificeringstjenesteudbyder, der udsteder et certifikat som kvalificeret certifikat til offentligheden, eller som garanterer et certifikat over for offentligheden, i falder erstatningsansvar for tab, der påføres ethvert organ eller enhver fysisk eller juridisk person, som med rimelighed forlader sig på certifikatet for så vidt angår:

a) korrektheden af alle oplysningerne i det kvalificerede certifikat på udstedelsestidspunktet

b) sikkerhed for, at den i det kvalificerede certifikat identificerede underskriver på udstedelsestidspunktet var i besiddelse af de signaturgenereringsdata, der svarer til de i certifikatet indeholdte eller omhandlede signaturverificeringsdata

c) sikkerhed for, at signaturgenererings- og signaturverificeringsdataene kan anvendes komplementært med hinanden i de tilfælde, hvor det er certificeringstjenesteudbyderen, der genererer begge datasæt

medmindre certificeringstjenesteudbyderen kan bevise, at han ikke har handlet uagtsomt.

2. Medlemsstaterne sikrer som et minimum, at en certificeringstjenesteudbyder, der har udstedt et certifikat som et kvalificeret certifikat til offentligheden, er erstatningsansvarlig for tab, der påføres ethvert organ eller enhver fysisk eller juridisk person, som med rimelighed forlader sig på certifikatet, for så vidt angår manglende registrering af tilbagekaldelse af certifikatet, medmindre certificeringstjenesteudbyderen kan bevise, at han ikke har handlet uagtsomt.

3. Medlemsstaterne sikrer, at en certificeringstjenesteudbyder i et kvalificeret certifikat kan anføre begrænsninger i dette certifikats anvendelsesområde, idet disse begrænsninger skal være tydelige for tredjeparter. Certificeringstjenesteudbyderen hæfter ikke for tab, der skyldes brug af et kvalificeret certifikat, som overskrider begrænsningerne i dets anvendelsesområde.

4. Medlemsstaterne sikrer, at certificeringstjenesteudbyderen i et kvalificeret certifikat kan sætte en beløbsgrænse for de transaktioner, som certifikatet kan anvendes til, og at denne beløbsgrænse er tydelig for tredjeparter.

5. Stk. 1-4 ikke berører Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler(7).

Artikel 7

Internationale aspekter

1. Medlemsstaterne sikrer, at certifikater, der er udstedt som kvalificerede certifikater til offentligheden af en certificeringstjenesteudbyder, der er etableret i et tredjeland, anses for at være retligt ligestillede med certifikater, der er udstedt af en certificeringstjenesteudbyder, der er etableret inden for Fællesskabet:

a) hvis certificeringstjenesteudbyderen opfylder kravene i dette direktiv og er akkrediteret under en frivillig akkrediteringsordning i en medlemsstat, eller

b) hvis en certificeringstjenesteudbyder, der er etableret inden for Fællesskabet, og som opfylder kravene i dette direktiv, garanterer certifikatet, eller

c) hvis certifikatet eller certificeringstjenesteudbyderen er anerkendt i henhold til en bilateral eller multilateral aftale mellem Fællesskabet og tredjelande eller internationale organisationer.

2. For at lette grænseoverskridende certificeringstjenester med tredjelande og retlig anerkendelse af avancerede elektroniske signaturer med oprindelse i tredjelande fremsætter Kommissionen i givet fald forslag med henblik på den faktiske implementering af standarder og internationale aftaler om certificeringstjenester. Kommissionen forelægger, hvis det er nødvendigt, Rådet forslag til passende mandater til forhandling af bilaterale og multilaterale aftaler med tredjelande og internationale organisationer. Rådet træffer afgørelse med kvalificeret flertal.

3. Når Kommissionen underrettes om vanskeligheder, som EF-virksomheder støder på ved markedsføringen i tredjelande, kan den om nødvendigt forelægge forslag til Rådet til et passende mandat med henblik på forhandling af tilsvarende rettigheder for EF-virksomheder i disse tredjelande. Rådet træffer afgørelse med kvalificeret flertal.

Foranstaltninger, der træffes i henhold til dette stykke, berører ikke Fællesskabets og medlemsstaternes forpligtelser i henhold til relevante internationale aftaler.

Artikel 8

Databeskyttelse

1. Medlemsstaterne sikrer, at certificeringstjenesteudbyderne og de nationale akkrediterings- og tilsynsorganer opfylder kravene i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(8).

2. Medlemsstaterne sikrer, at den certificeringstjenesteudbyder, der udsteder certifikatet til offentligheden, kun har tilladelse til at opnå persondata direkte fra den registrerede eller med den registreredes udtrykkelige tilladelse og kun i det omfang, det er nødvendigt for udstedelsen eller opretholdelsen af et certifikat. Data må ikke indsamles eller behandles til noget andet formål uden den registreredes udtrykkelige samtykke.

3. Uden at den retsvirkning, der tillægges pseudonymer i henhold til den nationale lovgivning, dermed foregribes, må medlemsstaterne ikke forhindre, at certificeringstjenesteudbyderen på certifikatet anfører et pseudonym i stedet for underskriverens navn.

Artikel 9

Udvalg

1. Herved oprettes Det Elektroniske Signatur-udvalg, i det følgende "udvalget". Udvalget af repræsentanter for medlemsstaterne og har Kommissionens repræsentant som formand.

2. Kommissionen bistås af udvalget.

3. Kommissionens repræsentant forelægger udvalget et udkast til de foranstaltninger, der skal træffes. Udvalget afgiver en udtalelse om dette udkast inden for en frist, som formanden kan fastsætte under hensyn til, hvor meget det pågældende spørgsmål haster. Det udtaler sig med det flertal, der er fastsat i traktatens artikel 205, stk. 2, for vedtagelse af de afgørelser, som Rådet skal træffe på forslag af Kommissionen. Ved afstemninger i udvalget tillæges de stemmer, der afgives af repræsentanterne for medlemsstaterne, den vægt, der er fastlagt i nævnte artikel. Formanden deltager ikke i afstemningen.

4. Kommissionen vedtager foranstaltninger, der straks finder anvendelse. Hvis de ikke er i overensstemmelse med den af udvalget afgivne udtalelse, underrettes Rådet dog ufortøvet af Kommissionen om disse foranstaltninger. I så fald gælder følgende:

- Kommissionen udsætter gennemførelsen af foranstaltningerne i et tidsrum af tre måneder regnet fra datoen for underretningen.

- Rådet kan med kvalificeret flertal træffe en anden afgørelse inden for det tidsrum, der er nævnt i første led.

Artikel 10

Udvalgets hverv

Udvalget skal efter proceduren i artikel 9 præcisere de krav, der er fastlagt i bilagene, de kriterier, som er omhandlet i artikel 3, stk. 4, samt de alment anerkendte standarder for elektroniske signaturprodukter, der er indført og offentliggjort i henhold til artikel 3, stk. 5.

Artikel 11

Meddelelse

1. Medlemsstaterne meddeler Kommissionen og de øvrige medlemsstater følgende:

a) oplysninger om frivillige nationale akkrediteringsordninger, herunder alle supplerende krav i henhold til artikel 3, stk. 7

b) navn og adresse på nationale akkrediterings- og tilsynsorganer og på de organer, som er omhandlet i artikel 3, stk. 4

c) navn og adresse på alle akkrediterede nationale certificeringstjenesteudbydere.

2. Medlemsstaterne meddeler alle oplysninger i henhold til stk. 1 samt ændringer heraf så hurtigt som muligt.

Artikel 12

Revision

1. Kommissionen foretager en vurdering af, hvordan dette direktiv fungerer, og aflægger rapport herom til Europa-Parlamentet og Rådet senest den ...(9).

2. I vurderingen tages der bl.a. stilling til, om direktivets anvendelsesområde bør ændres under hensyn til den teknologiske, markedsmæssige og retlige udvikling. Rapporten skal på grundlag af de indhøstede erfaringer navnlig omfatte en bedømmelse af harmoniseringsaspekterne. Rapporten ledsages om fornødent af forslag til retsforskrifter.

Artikel 13

Gennemførelse

1. Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv inden den ...(10) De underretter straks Kommissionen herom.

Disse love og administrative bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastlægges af medlemsstaterne.

2. Medlemstaterne meddeler Kommissionen de væsentligste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 14

Ikrafttræden

Dette direktiv træder i kraft på dagen for offentliggørelsen i De Europæiske Fællesskabers Tidende.

Artikel 15

Adressater

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i ...

På Europa-Parlamentets vegne

...

Formand

På Rådets vegne

...

Formand

(1) EFT C 325 af 23.10.1998, s. 5.

(2) EFT C 40 af 15.2.1999, s. 29.

(3) EFT C 93 af 6.4.1999, s. 33.

(4) Europa Parlamentets udtalelse af 13. januar 1999 (EFT C 104 af 14.4.1999, s. 49), Rådets fælles holdning af 28. juni 1999 og Europa-Parlamentets afgørelse af ... (endnu ikke offentliggjort i EFT).

(5) EFT L 367 af 31.12.1994, s. 1. Forordningen er ændret ved forordning (EF) nr. 837/95 (EFT L 90 af 21.4.1995, s. 1).

(6) EFT L 367 af 31.12.1994, s. 8. Afgørelsen er senest ændret ved afgørelse 1999/193/FUSP (EFT L 73 af 19.3.1999, s. 1).

(7) EFT L 95 af 21.4.1993, s. 29.

(8) EFT L 281 af 23.11.1995, s. 31.

(9) Tre år og seks måneder efter direktivets ikrafttræden.

(10) Et år og seks måneder efter direktivets ikrafttræden.

BILAG I

Krav til kvalificerede certifikater

Kvalificerede certifikater skal indeholde:

a) angivelse af, at certifikatet er udstedt som et kvalificeret certifikat

b) den udstedende certificeringstjenesteudbyders identifikation, og den stat vedkommende er etableret i

c) underskriverens navn eller pseudonym; i sidstnævnte tilfælde skal det fremgå, at der er tale om et pseudonym

d) særlige oplysninger om underskriveren, der tilføjes, hvis det er relevant, afhængigt af formålet med certifikatet

e) de signaturverificeringsdata, som svarer til de signaturgenereringsdata, som er under underskriverens kontrol

f) certifikatets ikrafftrædelses- og udløbsdato

g) certifikatets identifikationskode

h) den udstedende certificeringstjenesteudbyders avancerede elektroniske signatur

i) eventuelle begrænsninger i certifikatets anvendelsesområde, og

j) eventuelle beløbsmæssige begrænsninger med hensyn til de transaktioner, for hvilke certifikatet kan anvendes.

BILAG II

Krav til certificeringstjenesteudbydere, der udsteder kvalificerede certifikater

Certificeringstjenesteudbydere:

a) skal udvise den fornødne pålidelighed til at kunne udbyde certificeringstjenester

b) skal sørge for en hurtig og sikker katalog- og tilbagekaldelsestjeneste

c) skal sikre, at det er muligt at fastslå datoen og tidspunktet for udstedelsen eller tilbagekaldelsen af et certifikat

d) skal med hensigtsmæssige midler og i overensstemmelse med national ret kontrollere identiteten og eventuelt særlige forhold i forbindelse med de personer, til hvem der udstedes kvalificerede certifikater

e) skal beskæftige personale med den ekspertviden og de erfaringer og kvalifikationer, som de tilbudte tjenesteydelser kræver, navnlig ledelseskompetence, sagkundskab inden for elektronisk signaturteknologi og indgående kendskab til korrekte sikkerhedsprocedurer; de skal også anvende adækvate administrative og ledelsesmæssige procedurer, som overholder anerkendte standarder

f) skal anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og som garanterer de af disse systemer og produkter understøttede processers tekniske og kryptografiske sikkerhed

g) skal træffe foranstaltninger imod forfalskning af certifikater, og, hvis certificeringstjenestyderen genererer signaturgenereringsdata, garantere disse datas fortrolighed under genereringsprocessen

h) skal til stadighed have tilstrækkelig økonomiske ressourcer til at drive virksomheden i overensstemmelse med dette direktivs krav, navnlig til at bære erstatningsansvaret, f.eks. ved at tegne en passende forsikring

i) skal registrere alle relevante oplysninger om kvalificerede certifikater i en rimelig periode, navnlig for at kunne fremlægge bevis for certificering, når det er påkrævet i retssager. Denne registrering kan ske elektronisk

j) må ikke opbevare eller kopiere de personers signaturgenereringsdata, som certificeringstjenesteyderen har tilbudt nøglehåndteringstjenester

k) skal, inden de indgår i et kontraktforhold med en person, der søger at opnå et certifikat fra dem til støtte for sin elektroniske signatur, gennem et bestandigt kommunikationsmedium underrette denne person om de nøjagtige vilkår for anvendelsen af certifikatet, herunder eventuelle begrænsninger i brugen heraf, eksistensen af en eventuel frivillig akkrediteringsordning og procedurer for klager og bilæggelse af tvister. Sådanne oplysninger, som kan sendes elektronisk, skal gives skriftligt og i et umiddelbart forståeligt sprog. De relevante dele af disse oplysninger skal efter anmodning også stilles til rådighed for tredjemand, der forlader sig på certifikatet

l) skal benytte pålidelige systemer til opbevaring af certifikater i verificerbar form, således at

- kun bemyndigede personer kan foretage tilføjelser og ændringer

- oplysningernes ægthed kan kontrolleres

- certifikaterne kun er offentligt tilgængelige i de tilfælde, hvor indehaveren har givet sit samtykke, og

- eventuelle tekniske ændringer, som bringer disse sikkerhedskrav i fare, er synlige for operatøren.

BILAG III

Krav til sikre elektroniske signaturgenereringssystemer

1. Sike signaturgenereringssystemer skal ved hjælp af passende og tekniske og proceduremæssige midler i det mindste sikre, at

a) signaturgenereringsdata, der anvendes til signaturgenerering, i praksis kun kan fremtræde én gang, og at de med rimelig sikkerhed forbliver hemmelige

b) signaturgenereringsdata, der anvendes til signaturgenerering, med rimelig sikkerhed ikke kan udledes, og at signaturen er beskyttet mod forfalskning under anvendelse af eksisterende teknologi

c) signaturgenereringsdata, der anvendes til signaturgenerering, på pålidelig vis kan beskyttes af den retmæssige underskriver mod andres brug.

2. Sikre signaturgenereringssystemer må ikke ændre de data, som skal underskrives, eller hindre, at disse data vises for underskriveren forud for signaturprocessen.

BILAG IV

Anbefalinger vedrørende signaturverificering

I løbet af signaturverificeringsprocessen bør der skabes rimelig sikkerhed for, at

a) de data, der anvendes til verificering af signaturen, svarer til de data, som vises kontrolløren

b) signaturen verificeres på pålidelig vis, og at resultatet af denne verificering vises korrekt

c) kontrolløren om nødvendigt på pålidelig vis kan fastslå indholdet af de underskrevne data

d) certifikatets ægthed og gyldighed, som kræves på tidspunktet for signaturverificeringen, verificeres på pålidelig vis

e) resultatet af verificeringen og underskriverens identitet vises på korrekt vis

f) anvendelsen af pseudonym klart fremgår

g) eventuelle sikkerhedsrelevante ændringer kan spores.

RÅDETS BEGRUNDELSE

I. INDLEDNING

1. Kommissinen forelagde den 16. juni 1998 et forslag til Europa-Parlamentets og Rådets direktiv om en fællesskabsramme for elektroniske signaturer.

2. Europa-Parlamentet afgav førstebehandlingsudtalelse den 13. januar 1999, og Det Økonomiske og Sociale Udvalg og Regionsudvalget afgav udtalelse henholdsvis den 3. december 1998 og den 14. januar 1999.

3. Den 28. juni 1999 fastlagde Rådet sin fælles holdning i overensstemmelse med traktatens artikel 251.

II. FORMÅL

Formålet med dette forslag er at sikre et velfungerende indre marked med hensyn til elektroniske signaturer ved at indføre en harmoniseret retlig ramme.

Denne ramme, som består af en række kriterier, der skal danne grundlaget for retlig anerkendelse af elektroniske signaturer, lette anvendelsen af disse signaturer og således give forbrugere og virksomheder i Europa mulighed for at få fuldt udbytte af de muligheder, der ligger i elektronisk kommunikation.

III. ANALYSE AF DEN FÆLLES HOLDNING

A. GENERELLE BEMÆRKNINGER

Selv om Rådet har tilsluttet sig fremgangsmåden og de mål, som Kommissionen har foreslået, og som støttes af Europa-Parlamentet, har det under udarbejdelsen af sin fælles holdning fundet det nødvendigt at foretage en række substansmæssige og redaktionelle ændringer af teksten til direktivforslaget.

Rådet har foretaget disse ændringer for navnlig at

- gøre bestemmelserne i det nye direktiv klarere og lettere at forstå

- opnå større sikkerheden i forbindelse med elektronisk kommunikation

- bedre hensynet til de forskellige teknologier og tjenester, der gør det muligt at autentificere oplysninger, der fremsendes elektronisk

- tage større hensyn til de forskellige nationale forhold.

B. SPECIFIKKE BEMÆRKNINGER

1. De vigtigste ændringer i Kommissionens forslag

a) Skelnen mellem avancerede elektroniske signaturer og de øvrige elektroniske signaturer

Rådet opfatter det således, at en avanceret elektronisk signatur er en signatur, der frembyder et højt sikkerhedsniveau, og som derfor tillægges samme gyldighed som en håndskrevet signatur (jf. artikel 2, stk. 2, og artikel 5, stk. 1).

En sådan signatur kræver således ikke alene et autoriseret certifikat, der er udformet og udstedt under overholdelse af en række krav (jf. bilag I om krav til autoriserede certifikater og bilag II om krav til certificeringstjenesteudbydere), men skal også være fremstillet af et sikkert elektronisk signaturgeneringssystem (jf. kravene i bilag III).

De øvrige elektroniske signaturer skal i det mindste være omfattet af princippet om ikke-diskrimination og kan derfor ikke betragtes som værende helt uden retsvirkning, udelukkende fordi de er elektroniske signaturer (jf. artikel 2, stk. 1, og artikel 5, stk. 2).

b) Yderligere foranstaltninger med henblik på tjenesteudbydernes ydelse af certificeringstjenester på avanceret niveau

Den fælles holdning stadfæster det principielle forbud mod autorisation forud for udbud af certificeringsydelser, samtidig med at den støtter indførelsen på nationalt plan af frivillige akkrediteringsordninger med henblik på at forbedre disse tjenesters niveau og forpligter medlemsstaterne til at indføre et passende system til kontrol af certificeringstjenesteudbydere, der udsteder autoriserede certifikater til offentligheden (jf. artikel 3, stk. 2 og 3).

Den fælles holdning udvider desuden tjenesteydernes ansvar for så vidt angår gyldigheden af indholdet af de autoriserede certifikater, de udsteder, for derved at give brugerne større tillid til disse certifikater (jf. artikel 6). Ansvaret dækker bl.a. tilbagekaldelse af certifikaterne (jf. artikel 6, stk. 2).

c) Det udvalg, der bistår Kommissionen

Rådet har foretrukket, at dette udvalg følger en forskriftsudvalgsprocedure af typen IIB på grund af omfanget af de opgaver, der vil blive det pålagt (jf. artikel 9 og 10).

Udvalget vil således få pålagt at

- klarlægge de krav, der er omhandlet i bilagene til direktivet

- fastlægge kriterierne for udpegelsen af de nationale organer, der skal afgøre, om de sikre signaturgeneringssystemer, der anvendes til avancerede signaturer, opfylder direktivets krav (jf. artikel 3, stk. 4).

- fastsætte de almindeligt anerkendte standarder for elektroniske signatur-produkter, som, hvis de overholdes, lader formode, at de pågældende produkter opfylder direktivets krav (jf. artikel 3, stk. 4).

d) Anbefalinger vedrørende signaturkontrolsystemer

Den fælles holdning indeholder en række anbefalinger med henblik på at gøre kontrollen med avancerede elektroniske signaturer så sikker som mulig og opfordrer medlemsstaterne og Kommissionen til at samarbejde for, på baggrund af disse anbefalinger, at fremme udviklingen og brugen af sikre signaturkontrolsystemer (jf. artikel 3, stk. 6, og bilag IV).

2. Rådets holdning til Europa-Parlamentets ændringsforslag

a) Ændringer, der helt eller delvis er accepteret i den fælles holdning

Rådet har uden ændringer accepteret ændring 3, 11, 12, 14, 18, 20, 31, 32, 33 og 34, og for så vidt angår de grundlæggende aspekter ændring 2, 13, 21, 22 og 25.

Rådet har delvis accepteret ændring 4, 9 og 17 og er i så henseende enig med Kommissionen.

b) Ændringer, der ikke er accepteret i den fælles holdning

Ved ikke at acceptere ændring 1, 6, 7, 10, 15, 23, 24, 26, 28 og 29 har Rådet fulgt Kommissionen negative udtalelse.

Ved ikke at acceptere ændring 5, 16, 27 og 30 har Rådet taget følgende i betragtning:

- ændring 5, om lettere adgang for Den Europæiske Unions borgere til den offentlige forvaltning i andre medlemsstater end dem, hvori de er bosiddende (ny betragtning).

Rådet finder, at artikel 3, stk. 7, som fastsætter, at medlemsstaternes bestemmelser for anvendelse af elektroniske signaturer i den offentlige sektor ikke må hindre grænseoverskridende tjenesteydelser til borgerne, imødekommer Europa-Parlamentets betænkeligheder på dette område

- ændring 16 om anerkendelse af akkrediteringsordninger, der forvaltes af organisationer, der er uafhængige af regeringerne (artikel 3, stk. 2).

Rådet finder, at der er taget hensyn til Europa-Parlamentets betænkeligheder i definitionen af "frivillig akkreditering" i artikel 2, nr. 13

- ændring 27 om overførsel til offentlige myndigheder af data vedrørende identiteten af personer, der anvender pseudonym (artikel 8, stk. 4).

Rådet finder, at forslaget om kun at tillade denne overførsel i tilfælde af efterforskning i en kriminalsag eller indbringelse af en klage for domstolen er alt for restriktiv, og at det bl.a. vil kunne tilskynde til ulovlig anvendelse af elektroniske kommunikationer

- ændring 30 om, at der skal henvises til "anerkendte" organer i forbindelse med meddelelsen til de ansvarlig akkrediterings- og tilsynsorganer (artikel 11).

Rådet mener, at udtrykket "anerkendte organer", som hverken er omfattet af en definition eller nævnt i resten af direktivet, vil kunne give anledning til fortolkningsproblemer.