32000D0709

Kommissionens beslutning

af 6. november 2000

om de minimumskriterier, som medlemsstaterne skal tage hensyn til, når de udpeger organer i overensstemmelse med artikel 3, stk. 4, i Europa-Parlamentets og Rådets direktiv 1999/93/EF om en fællesskabsramme for elektroniske signaturer

(meddelt under nummer K(2000) 3179)

(EØS-relevant tekst)

(2000/709/EF)

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR -

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab,

under henvisning til Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer(1), særlig artikel 3, stk. 4, og

ud fra følgende betragtninger:

(1) Den 13. december 1999 vedtog Europa-Parlamentet og Rådet direktiv 1999/93/EF om en fællesskabsramme for elektroniske signaturer.

(2) Bilag III til direktiv 1999/93/EF indeholder krav til sikre signaturgenereringssystemer. Ifølge direktivets artikel 3, stk. 4, skal egnede offentlige eller private organer, som udpeges af medlemsstaterne, afgøre, om sikre signaturgenereringssystemer opfylder kravene i bilag III, og Kommissionen skal fastlægge, hvilke kriterier medlemsstaterne skal anvende, når de afgør, om et organ skal udpeges til at udføre en sådan overensstemmelsesvurdering.

(3) Kommissionen skal høre det udvalg for elektroniske signaturer, der er nedsat i henhold til artikel 9, stk. 1, i direktiv 1999/93/EF, inden de ovennævnte kriterier fastlægges.

(4) De foranstaltninger, der fastsættes ved denne beslutning, er i overensstemmelse med den udtalelse, der er afgivet af udvalget for elektroniske signaturer -

VEDTAGET FØLGENDE BESLUTNING:

Artikel 1

Formålet med denne beslutning er at fastlægge, hvilke kriterier medlemsstaterne skal anvende, når de udpeger nationale organer for overensstemmelsesvurdering af sikre signaturgenereringssystemer.

Artikel 2

Hvis det udpegede organ er en del af en organisation, der er involveret i andre aktiviteter end vurdering af sikre signaturgenereringssystemers overensstemmelse med de krav, der er fastsat i bilag III til direktiv 1999/93/EF, skal organet være klart afgrænset inden for denne organisation. De forskellige aktiviteter skal være klart adskilt fra hinanden.

Artikel 3

Organet og dets personale må ikke være involveret i aktiviteter, der kan påvirke uafhængigheden i deres bedømmelser og deres integritet i forbindelse med den opgave, de skal udføre. Organet skal navnlig være uafhængigt af de involverede parter. Derfor må organet, dets direktør og det personale, der er ansvarligt for udførelsen af overensstemmelsesvurderingen ikke være konstruktør, producent, leverandør eller installatør af sikre signaturgenereringssystemer, og ej heller en certificeringstjensteudbyder, der udsteder certifikater til offentligheden, eller repræsentant for nogen af ovennævnte.

Desuden skal de være økonomisk uafhængige og må ikke involvere sig direkte i udvikling, konstruktion, markedsføring eller vedligeholdelse af sikre signaturgenereringssystemer eller repræsentere parter, der er involveret i disse aktiviteter. Dette udelukker dog ikke, at der kan udveksles tekniske oplysninger mellem producenten og det anmeldte organ.

Artikel 4

Organet og dets personale skal udvise en høj grad af faglig integritet, pålidelighed og tilstrækkelig teknisk kompetence, når de vurderer sikre signaturgenereringssystemers overensstemmelse med de krav, der er fastsat i bilag III til direktiv 1999/93/EF.

Artikel 5

Der skal være åbenhed omkring organets praksis i forbindelse med overensstemmelsesvurderingen, og organet skal dokumentere alle relevante oplysninger om denne praksis. Alle interesserede parter skal have adgang til organets tjenesteydelser. De procedurer, som organet følger, skal administreres på en ikke-diskriminerende måde.

Artikel 6

Organet skal have det nødvendige personale og de nødvendige faciliteter til rådighed til, at det korrekt og hurtigt kan udføre det tekniske og administrative arbejde, der er forbundet med den opgave, som organet er udpeget til at udføre.

Artikel 7

Det personale, der er ansvarligt for overensstemmelsesvurderingen, skal have:

- en solid teknisk og faglig uddannelse, navnlig inden for teknologier vedrørende elektroniske signaturer og de dermed forbundne IT-sikkerhedsaspekter

- tilstrækkeligt kendskab til kravene i forbindelse med den overensstemmelsesvurdering, som de udfører, samt tilstrækkelig erfaring i at udføre en sådan overensstemmelsesvurdering.

Artikel 8

Der skal være garanti for, at personalet er upartisk. Personalets aflønning må ikke afhænge af antallet af udførte overensstemmelsesvurderinger eller af resultatet af disse.

Artikel 9

Organet skal træffe passende foranstaltninger til dækning af erstatningsansvar i forbindelse med dets aktiviteter, f.eks. i form af en passende forsikring.

Artikel 10

Organet skal træffe passende foranstaltninger for at sikre fortroligheden, for så vidt angår de oplysninger, der indsamles som led i udførelsen af organets opgaver i henhold til direktiv 1999/93/EF eller nationale bestemmelser til gennemførelse heraf, undtagen over for de ansvarlige myndigheder i den medlemsstat, der har udpeget organet.

Artikel 11

Hvis et udpeget organ indgår aftale om, at en del af overensstemmelsesvurderingerne gennemføres af en anden part, skal organet sikre og kunne påvise, at denne part er kompetent til at udføre den pågældende ydelse. Det udpegede organ skal påtage sig det fulde ansvar for det arbejde, der udføres i henhold til sådanne aftaler. Den endelige afgørelse skal træffes af det udpegede organ.

Artikel 12

Denne beslutning er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 6. november 2000.

På Kommissionens vegne

Erkki Liikanen

Medlem af Kommissionen

(1) EFT L 13 af 19.1.2000, s. 12.