|
31.7.2010
|
ET
|
Euroopa Liidu Teataja
|
L 199/30
|
KOMISJONI OTSUS,
28. juuli 2010,
millega muudetakse otsust 2009/767/EÜ liikmesriigis järelevalvealuste / akrediteeritud sertifitseerimisteenuse osutajate usaldusnimekirjade koostamise, haldamise ja avaldamise osas
(teatavaks tehtud numbri K(2010) 5063 all)
(EMPs kohaldatav tekst)
(2010/425/EL)
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 12. detsembri 2006. aasta direktiivi 2006/123/EÜ teenuste kohta siseturul, (1) eriti selle artikli 8 lõiget 3,
ning arvestades järgmist:
|
(1)
|
Kvalifitseeritud sertifikaadil põhinevate ja turvalise allkirja andmise vahendiga või ilma selleta antud täiustatud elektrooniliste allkirjade piiriülest kasutamist hõlbustati komisjoni 16. oktoobri 2009. aasta otsusega 2009/767/EÜ (millega kehtestatakse meetmed elektrooniliste haldustoimingute kasutamise lihtsustamiseks ühtsete kontaktpunktide kaudu, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 2006/123/EÜ teenuste kohta siseturul), (2) kõnealuse otsusega kohustatakse liikmesriike tegema kättesaadavaks elektrooniliste allkirjade tõendamiseks vajaliku teabe. Eelkõige peavad liikmesriigid tegema oma nn usaldusnimekirjades kättesaadavaks teabe liikmesriigis järelevalvealuste/akrediteeritud sertifitseerimisteenuse osutajate kohta, kes väljastavad üldsusele nõuetekohaseid sertifikaate kooskõlas Euroopa Parlamendi ja nõukogu 13. detsembri 1999. aasta direktiiviga 1999/93/EÜ (elektroonilisi allkirju käsitleva ühenduse raamistiku kohta), (3) ning nende pakutavate teenuste kohta.
|
|
(2)
|
Selleks et võimaldada liikmesriikidel kontrollida oma usaldusnimekirjade vastavust otsuse 2009/767/EÜ lisas sätestatud nõuetele, korraldati koos Euroopa Telekommunikatsioonistandardite Instituudiga (ETSI) rida praktilisi katsetusi. Katsetused näitasid, et toimivate ja koostalitlusvõimeliste usaldusnimekirjade tagamiseks on otsuse 2009/767/EÜ lisa tehnilistes nõuetes vaja teha mõningad tehnilised muudatused.
|
|
(3)
|
Samuti kinnitasid katsetused, et liikmesriikidel on vaja avalikult kättesaadavaks teha mitte ainult inimesele loetavad usaldusnimekirjade versioonid, nagu on nõutud otsuses 2009/767/EÜ, vaid ka nende masinloetavad versioonid. Inimesele loetavate usaldusnimekirjade käsitsi läbivaatamine võib olla üsna keeruline ja aeganõudev, kui liikmesriikides on palju sertifitseerimisteenuse osutajaid. Masinloetavate usaldusnimekirjade avaldamine hõlbustab usaldusnimekirjade kasutamist, võimaldades nende automatiseeritud töötlemist ning laiendades selle abil nende kasutamist üldkasutatavate elektrooniliste teenuste valdkonnas.
|
|
(4)
|
Selleks et hõlbustada juurdepääsu liikmesriikide usaldusnimekirjadele, peaksid liikmesriigid komisjonile edastama oma usaldusnimekirjade asukoha ja nende kaitsmisega seotud teabe. Komisjon peaks selle teabe teistele liikmesriikidele kättesaadavaks tegema turvalisel viisil.
|
|
(5)
|
Liikmesriikide usaldusnimekirjadega tehtud praktiliste katsetuste tulemusi tuleks arvesse võtta selleks, et võimaldada nimekirjade automatiseeritud kasutamist ja hõlbustada neile juurdepääsu.
|
|
(6)
|
Seepärast tuleks otsust 2009/767/EÜ vastavalt muuta.
|
|
(7)
|
Selleks et võimaldada liikmesriikidel teha oma praegustesse usaldusnimekirjadesse vajalikud tehnilised muudatused, on asjakohane kohaldada käesolevat otsust alates 1. detsembrist 2010.
|
|
(8)
|
Käesoleva otsusega ettenähtud meetmed on kooskõlas teenuste direktiivi komitee arvamusega,
|
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
Otsuse 2009/767/EÜ muutmine
Otsust 2009/767/EÜ muudetakse järgmiselt.
|
1)
|
Artiklit 2 muudetakse järgmiselt:
|
a)
|
lõige 2 asendatakse järgmisega:
„2. Liikmesriigid koostavad ja avaldavad nii inimesele loetava kui ka masinloetava usaldusnimekirja vastavalt lisas sätestatud nõuetele.”;
|
|
b)
|
lisatakse lõige 2a:
„2a. Liikmesriigid allkirjastavad oma masinloetava usaldusnimekirja elektrooniliselt ja avaldavad vähemalt mõne turvakanali kaudu inimesele loetava usaldusnimekirja, et tagada selle autentsus ja terviklikkus.”;
|
|
c)
|
lõige 3 asendatakse järgmisega:
„3. Liikmesriigid edastavad komisjonile järgmise teabe:
|
a)
|
inimesele loetava ja masinloetava usaldusnimekirja versiooni koostamise, haldamise ja avaldamise eest vastutav(ad) asutus(ed);
|
|
b)
|
inimesele loetava ja masinloetava usaldusnimekirja versiooni avaldamise koht;
|
|
c)
|
avaliku võtme sertifikaat sellise turvakanali jaoks, mille kaudu inimesele loetav usaldusnimekiri avaldatakse, või – kui inimesele loetav usaldusnimekiri on elektrooniliselt allkirjastatud – selle allkirjastamisel kasutatava avaliku võtme sertifikaat;
|
|
d)
|
avaliku võtme sertifikaat, mida kasutatakse masinloetava usaldusnimekirja elektroonilisel allkirjastamisel;
|
|
e)
|
kõik muudatused punktides a–d esitatud teabes.”;
|
|
|
d)
|
lisatakse lõige 4:
„4. Komisjon teeb kõigile liikmesriikidele kasutaja serveri ja autenditud veebiserveri vaheliste turvakanalite kaudu kättesaadavaks lõikes 3 osutatud teabe, mille liikmesriigid on esitanud nii inimesele loetaval kujul kui ka allkirjastatult, masinloetaval kujul”.
|
|
|
2)
|
Lisa muudetakse vastavalt käesoleva otsuse lisas sätestatule.
|
Artikkel 2
Kohaldamine
Käesolevat otsust kohaldatakse alates 1. detsembrist 2010.
Artikkel 3
Adressaadid
Käesolev otsus on adresseeritud liikmesriikidele.
Brüssel, 28. juuli 2010
Komisjoni nimel
komisjoni liige
Michel BARNIER
(1) ELT L 376, 27.12.2006, lk 36.
(2) ELT L 274, 20.10.2009, lk 36.
(3) EÜT L 13, 19.1.2000, lk 12.
LISA
Otsuse 2009/767/EÜ lisa muudetakse järgmiselt.
|
1)
|
I peatükki muudetakse järgmiselt:
|
a)
|
teise lõigu esimene ja teine lause asendatakse järgnevaga:
„Käesolevad nõuded põhinevad ETSI TS 102 231 punktis v.3.1.2 sätestatud tingimustel ja nõuetel. Kui käesolevas kirjelduses ei ole sätestatud erinõudeid, siis PEAB kohaldama täielikult ETSI TS 102 231 punkti v.3.1.2 nõudeid.”;
|
|
b)
|
jao „TSL tag (punkt 5.2.1)” teine lõik jäetakse välja;
|
|
c)
|
jao pealkirjale „TSL sequence number (punkt 5.3.2)” järgnev lõik asendatakse järgmisega:
„See väli on KOHUSTUSLIK. Selles PEAB olema esitatud TSLi järjenumber. Alates numbrist „1” TSLi esimeses redaktsioonis PEAB seda täisarvulist väärtust kasvatama igas järgmises TSLi redaktsioonis. Kui eespool nimetatud tunnust „TSL version identifier” kasvatatakse, siis EI TOHI nimetatud väärtust taas arvuni „1” taandada.”;
|
|
d)
|
jao pealkirjale „TSL type (punkt 5.3.3)” järgnev esimene lõik asendatakse järgmisega:
„See väli on KOHUSTUSLIK ning sellel peab olema esitatud TSLi tüüp. See PEAB olema määratud http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic (Generic).”;
|
|
e)
|
jao pealkirjale „TSL type (punkt 5.3.3)” järgnev kolmas lõik asendatakse järgmisega:
„URI: (Generic) http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic”;
|
|
f)
|
jao pealkirjale „Scheme operator name (punkt 5.3.4)” järgneva teise lõigu teine lause asendatakse järgmisega:
„Iga liikmesriik määrab ise oma riigi TLi TSL-rakenduse süsteemioperaatori.”;
|
|
g)
|
jao pealkirjale „Scheme operator name (punkt 5.3.4)” järgnev neljas lõik asendatakse järgmisega:
„Määratud süsteemioperaator (punkt 5.3.4) on üksus, kes allkirjastab TSLi.”;
|
|
h)
|
jao pealkirjale „Scheme name (punkt 5.3.6)” järgnev neljas taane asendatakse järgmisega:
„„EN_name_value”= Supervision/Accreditation Status List of certification services from Certification Service Providers, which are supervised/accredited by the referenced Member State for compliance with the relevant provisions laid down in Directive 1999/93/EC and its implementation in the referenced Member State’s laws.”;
|
|
i)
|
jao pealkirjale „Service type identifier (punkt 5.5.1)” järgnev esimene lõik asendatakse järgmisega:
„See väli on KOHUSTUSLIK ning sellel PEAB olema esitatud teenusetüübi identifikaator vastavalt käesolevates TSLi nõuetes sisalduvale tüübile (st „/eSigDir-1999-93-EC-TrustedList/TSLType/generic”).”;
|
|
j)
|
jao pealkirjale „Service current status (punkt 5.5.4)” järgnev viies taane asendatakse järgmisega:
|
„—
|
Accredited (http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/Svcstatus/accredited)”;
|
|
|
k)
|
jao pealkirjale „Service current status (punkt 5.5.4)” järgnev üheksas taane asendatakse järgmisega:
„— Supervision of Service in Cessation: „TSP name” väljal (punkt 5.4.1) näidatud CSP poolt „Service digital identity” väljal (punkt 5.5.3) näidatud teenuse osutamine on hetkel katkestatud, kuid selle üle teostatakse siiski järelevalvet, kuni järelevalve lõpetatakse või tühistatakse. Kui vastutuse selle katkestusetapi kindlustamise eest on võtnud üle „TSP name” väljal näidatud juriidilise isiku asemel mõni teine juriidiline isik, PEAB selle uue või varuks oleva juriidilise isiku (varu-CSP) nimi olema esitatud teenusekirje punktis „Scheme service definition URI” (punkt 5.5.6) ja „TakenOverBy” laiendis (punkt L.3.2).”;
|
|
l)
|
jao pealkirjale „Service information extensions (punkt 5.5.9)” järgnev viies lõik asendatakse järgmisega:
„XML-rakenduse puhul peab sellise lisateabe sisu olema kodeeritud, kasutades ETSI TS 102 231 lisas C esitatud xsd-faile.”;
|
|
m)
|
jagu pealkirjaga „Service digital identity (punkt 5.6.3)” asendatakse järgmisega:
„Service digital identity (punkt 5.6.3)
See väli on KOHUSTUSLIK ning sellel PEAB olema esitatud vähemalt üks digitaalne tunnus (st X.509v3 sertifikaat), mida kasutatakse „TSP Service Information – Service digital identity” väljal (punkt 5.5.3) ETSI TS 102 231 kohases formaadis ja tähenduses (vt punkt 5.5.3).
Märkus. Teenust käsitlevas Sdi punktis 5.5.3 kasutatava X.509v3 sertifikaadi väärtuse puhul peab usaldusnimekirjas olema ainult üks teenusekirje „Sti:Sie/additionalServiceInformation” väärtuse kohta. Teave Sdi (punkt 5.6.3) kohta, mida kasutatakse teenusekirjega seotud teenuse kinnitamise oleku ajalugu käsitlevas teabes, ja teave Sdi (punkt 5.5.3) kohta, mida kasutatakse kõnealuses teenusekirjes, PEAVAD olema ühe ja sama X.509v3 sertifikaadi väärtuse kohta. Kui nimekirjas oleva teenuse Sdi muutub (st X.509v3 sertifikaadi uuendamine või uuesti tippimine nt CA/PKC või CA/QC jaoks) või sellele luuakse uus Sdi, ja isegi kui sellega seotud Sti, Sn ja (Sie) jaoks jäävad väärtused samaks, PEAB Scheme Operator looma eelmisest erineva teenusekirje.”;
|
|
n)
|
jagu pealkirjaga „Signed TSL” asendatakse järgmisega:
„Signed TSL
Käesolevate nõuete ja eelkõige IV peatüki alusel koostatud, inimesele loetava usaldusnimekirja TSLi PEAKS allkirjastama „Scheme operator name” väljaga (punkt 5.3.4), et tagada nimekirja autentsus ja terviklikkus (1). Allkirja formaat PEAKS olema PAdES part 3 (ETSI TS 102 778–3), (2) kuid VÕIB olla ka PAdES part 2 (ETSI TS 102 778–2) (3) konkreetse usaldusmudeli puhul, mis on loodud usaldusnimekirjade allkirjastamiseks kasutatavate sertifikaatide avaldamise teel.
Käesoleva kirjelduse alusel koostatud, masinloetava usaldusnimekirja TSLi PEAB allkirjastama „Scheme operator name” väljaga (punkt 5.3.4), et tagada nimekirja autentsus ja terviklikkus. Käesoleva kirjelduse alusel koostatud, masinloetav usaldusnimekirja TSL PEAB olema XML-formaadis ning PEAB vastama ETSI TS 102 231 lisades B ja C sätestatud nõuetele.
Allkirja formaat PEAB olema XAdES BES või EPES, nagu on ette nähtud ETSI TS 101 903 nõuetes XML-rakenduste kohta. Selline elektroonilise allkirja teostus PEAB vastama ETSI TS 102 231 lisas B (4) sätestatud nõuetele. Kõnealuse allkirja suhtes kohaldatavad täiendavad üldnõuded on esitatud järgmistes jagudes.;
|
|
o)
|
jao pealkirjale „Scheme identification (punkt 5.7.2)” järgnev teine lõik asendatakse järgmisega:
„Käesoleva kirjelduse kohaldamisel PEAB määratud viide sisaldama „TSL type” välja (punkt 5.3.3), „Scheme name” välja (punkt 5.3.6) ja süsteemioperaatori poolt TSLi elektrooniliseks allkirjastamiseks kasutatava sertifikaadi SubjectKeyIdentifier laienduse väärtust.”
|
|
p)
|
jao pealkirjale „additional ServiceInformation Extension (punkt 5.8.2)” järgnev teine lõik asendatakse järgmisega:
„URI mahavõtmise tulemuseks PEAKS olema sellise inimesele loetava teabe saamine (vähemalt inglise ja tõenäoliselt ka ühes või mitmes vastava riigi keeles), mida peetakse asjakohaseks ja piisavaks selleks, et sellele toetuv osaline saaks laiendusest aru, ja mis eelkõige selgitaks asjakohaste URIde tähendust, täpsustades võimalikke serviceInformation’i väärtusi ja iga väärtuse tähendust.”;
|
|
q)
|
jagu pealkirjaga „Qualifications Extension (punkt L.3.1)” asendatakse järgmisega:
„Qualifications Extension (punkt L.3.1)
Kirjeldus. See väli on VALIKULINE, kuid see PEAB olema olemas, kui selle kasutamine on KOHUSTUSLIK, nt RootCA/QC või CA/QC teenuste puhul ja kui
„Service digital identity” väljal esitatud teave ei ole piisav selle teenusega väljastatavate kvalifitseeritud sertifikaatide selgeks tuvastamiseks;
seotud kvalifitseeritud sertifikaatides sisalduv teave ei võimalda masintöötluse teel tuvastada, kas SSCD toetab QCd või mitte.
Kui seda teenuse taseme laiendust kasutada, siis TOHIB seda kasutada ainult „Service information extension” (punkt 5.5.9) väljal määratletud väljal ja see PEAB vastama ETSI TS 102 231 lisas L.3.1 sätestatud nõuetele.”;
|
|
r)
|
pärast jagu „Qualifications Extension (punkt L.3.1)” lisatakse jagu „TakenOverBy Extension (punkt L 3.2)”:
„TakenOverBy Extension (punkt L.3.2)
Kirjeldus. Käesolev laiendus on VALIKULINE, kuid PEAB olema olemas, kui teenuse, mis kuulus enne CSP õigusliku vastutuse alla, võtab üle teine TSP ja see on ette nähtud selleks, et kinnitada ametlikult teenuse õigusliku vastutuse alla kuuluvust ning võimaldada kontrollival tarkvaral kasutajale mõningaid juriidilisi üksikasju kuvada. Käesolevas laienduses esitatud teave PEAB olema kooskõlas sellega seotud punkti 5.5.6 kasutamisega ja PEAB vastama ETSI TS 102 231 lisa L.3.2 nõuetele.”
|
|
|
2)
|
II peatükk asendatakse järgmisega:
„II PEATÜKK
Liikmesriigid kasutavad oma usaldusnimekirjade koostamisel:
|
|
väiketähelisi keelekoode ja suurtähelisi riigikoode;
|
|
|
keele- ja riigikoode vastavalt järgmisele tabelile.
|
Kui on olemas ladinakeelne variant (koos täpse keelekoodiga), lisatakse transliteratsioon ladina tähestikku koos järgmises tabelis esitatud vastavate keelekoodidega.
|
Lühinimi
(algkeeles)
|
Lühinimi
(inglise keeles)
|
Riigikood
|
Keelekood
|
Märkused
|
Transliteratsioon ladina tähestikku
|
|
Belgique/België
|
Belgium
|
BE
|
nl, fr, de
|
|
|
|
България (5)
|
Bulgaria
|
BG
|
bg
|
|
bg-Latn
|
|
Česká republika
|
Czech Republic
|
CZ
|
cs
|
|
|
|
Danmark
|
Denmark
|
DK
|
da
|
|
|
|
Deutschland
|
Germany
|
DE
|
de
|
|
|
|
Eesti
|
Estonia
|
EE
|
et
|
|
|
|
Éire/Ireland
|
Ireland
|
IE
|
ga, en
|
|
|
|
Ελλάδα (5)
|
Greece
|
EL
|
el
|
Euroopa Liidu soovitatud riigikood
|
el-Latn
|
|
España
|
Spain
|
ES
|
es
|
samuti katalaani (ca), baski (eu), galiitsia (gl)
|
|
|
France
|
France
|
FR
|
fr
|
|
|
|
Italia
|
Italy
|
IT
|
it
|
|
|
|
Κύπρος/Kıbrıs (5)
|
Cyprus
|
CY
|
el, tr
|
|
el-Latn
|
|
Latvija
|
Latvia
|
LV
|
lv
|
|
|
|
Lietuva
|
Lithuania
|
LT
|
lt
|
|
|
|
Luxembourg
|
Luxembourg
|
LU
|
fr, de, lb
|
|
|
|
Magyarország
|
Hungary
|
HU
|
hu
|
|
|
|
Malta
|
Malta
|
MT
|
mt, en
|
|
|
|
Nederland
|
Netherlands
|
NL
|
nl
|
|
|
|
Österreich
|
Austria
|
AT
|
de
|
|
|
|
Polska
|
Poland
|
PL
|
pl
|
|
|
|
Portugal
|
Portugal
|
PT
|
pt
|
|
|
|
România
|
Romania
|
RO
|
ro
|
|
|
|
Slovenija
|
Slovenia
|
SI
|
sl
|
|
|
|
Slovensko
|
Slovakia
|
SK
|
sk
|
|
|
|
Suomi/Finland
|
Finland
|
FI
|
fi, sv
|
|
|
|
Sverige
|
Sweden
|
SE
|
sv
|
|
|
|
United Kingdom
|
United Kingdom
|
UK
|
en
|
Euroopa Liidu soovitatud riigikood
|
|
|
Ísland
|
Iceland
|
IS
|
is
|
|
|
|
Liechtenstein
|
Liechtenstein
|
LI
|
de
|
|
|
|
Norge/Noreg
|
Norway
|
NO
|
no, nb, nn
|
|
|
|
|
3)
|
III peatükk jäetakse välja.
|
|
4)
|
IV peatükis lisatakse sissejuhatava lause „PDF/A profiilil põhineva usaldusnimekirja TSL-rakenduse HR-vormi sisu PEAKS vastama järgmistele nõuetele:” järele järgmine taane:
|
„—
|
inimesele loetava usaldusnimekirja pealkiri saadakse järgmiste elementide ühendamisel:
|
—
|
soovi korral liikmesriigi lipu kujutis;
|
|
—
|
riigi lühinimi algkeel(t)es (nagu on esitatud II peatüki tabeli esimeses veerus);
|
|
—
|
riigi lühinimi inglise keeles (nagu on esitatud II peatüki tabeli teises veerus) sulgudes;
|
|
—
|
„):” sulgeva ümarsulu ja eraldajana;
|
|
—
|
soovi korral liikmesriigi süsteemioperaatori logo.”
|
|
|
(1) Kui inimesele loetav usaldusnimekirja TSL ei ole allkirjastatud, PEAB selle autentsuse ja terviklikkuse tagama asjakohase sidekanali kaudu, millel on samaväärne turvalisuse tase. Selleks soovitatakse kasutada TLSi (IETF RFC 5246: „The Transport Layer Security (TLS) Protocol Version 1.2” ja liikmesriik PEAB TLS-kanali sertifikaadi sõrmejälje TSLi kasutajatele kättesaadavaks tegema ribaväliselt.
(2) ETSI TS 102 778–3 – Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced - PAdES-BES and PAdES-EPES Profiles.
(3) ETSI TS 102 778–2 – Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic - Profile based on ISO 32000-1.
(4) Süsteemioperaatori kaitsmine sertifikaadi allkirjastamisel ühel ETSI TSis 101 903 sätestatud viisidest on kohustuslik ja ds:keyInfo peaks võimaluse korral sisaldama asjakohast sertifitseerimisahelat.”
(5) Transliteratsioon ladina tähestikku: България = Bulgaria; Ελλάδα = Elláda; Κύπρος = Kýpros.”
In force