Turvallisemmat transaktiot internetissä

TIIVISTELMÄ ASIAKIRJASTA:

Asetus (EU) N:o 910/2014: sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla

TIIVISTELMÄ

ASETUKSEN TARKOITUS

• Sähköisestä tunnistamisesta ja luottamuspalveluista (eIDAS) annetussa asetuksessa luodaan uudet eurooppalaiset oikeudelliset puitteet turvallisille sähköisille transaktioille EU:ssa yritysten, kansalaisten ja julkisten viranomaisten välillä.
• Asetuksen tarkoituksena on parantaa luottamusta EU:n laajuisiin sähköisiin transaktioihin ja lisätä yksityisten ja julkisten verkkopalvelujen ja sähköisen kaupankäynnin tehokkuutta. Sitä sovelletaa:
  • EU-maiden komissiolle ilmoittamiin sähköisen tunnistamisen (eID)* järjestelmiin
  • EU:hun sijoittautuneisiin luottamuspalvelun tarjoajiin.
• Sillä poistetaan sähköisen tunnistamisen käytön nykyisiä esteitä EU:ssa. Näin esimerkiksi portugalilaisen yrityksen olisi helpompi osallistua tarjouskilpailuun palveluhankintasopimuksesta Ruotsissa, kun EU-rahoituksen myöntäminen voidaan hoitaa kokonaan verkossa.

TÄRKEIMMÄT KOHDAT

Sähköinen tunnistaminen

• Yhdessä EU-maassa myönnetty sähköinen tunnistaminen on tunnustettava kaikissa muissa EU-maissa. Tätä sovelletaan ainoastaan, jos sähköinen tunnistaminen täyttää asetuksen vaatimukset ja siitä on ilmoitettu komissiolle ja se on julkaistu luettelossa. Tämä sähköisen tunnistamisen vastavuoroinen tunnustaminen tulee olemaan pakollista 28. syyskuuta 2018 alkaen, ja se helpottaa turvallisia sähköisiä transaktioita EU:ssa.
• Sähköisen tunnistamisen järjestelmässä on määriteltävä kolme varmuustasoa (matala, korotettu, korkea) kyseisen järjestelmän puitteissa myönnetylle sähköisen tunnistamisen menetelmälle. Vastavuoroinen tunnustaminen on pakollista vain kun toimivaltainen julkisen sektorin elin käyttää ”korotettua” tai ”korkeaa” tasoa palvelun käyttämiseen verkossa.

Ilmoittaminen

• Ilmoittaessaan komissiolle sähköisen tunnistamisen järjestelmästä EU-maiden on annettava muun muassa seuraavat tiedot:
  • varmuustasot ja järjestelmän mukaisten sähköisen tunnistamisen myöntäjä
  • sovellettava valvontajärjestelmä ja vastuuta koskeva järjestelmä
  • yksilöivien henkilötietojen rekisteröinnistä vastaava elin.
• Sähköisen tunnistamisen järjestelmän tai todentamisjärjestelmän tietoturvaloukkausten sattuessa ilmoitettavan EU-maan on:
  • viipymättä keskeytettävä tai peruutettava rajat ylittävä todentaminen tai ne osat, joiden tietoturva on vaarantunut, ja
  • ilmoitettava asiasta muille EU-maille ja komissiolle.

Vastuu

• Jos EU-maiden välinen transaktio ei täytä asetuksessa säädettyjä velvoitteita, ketä tahansa seuraavista osapuolista voidaan pitää vastuussa henkilölle tai elimelle tahallaan tai tuottamuksesta aiheutetusta vahingosta:
  • ilmoittava EU-maa
  • sähköisen tunnistamisen myöntävä osapuoli
  • todentamismenettelystä vastaava osapuoli.

Yhteistyö ja yhteentoimivuus EU-maiden välillä

• Kansallisten sähköisen tunnistamisen järjestelmien on oltava yhteentoimivia. Yhteentoimivuusjärjestelmän on oltava teknologianeutraali, eikä se saa suosia mitään kansallisia sähköisen tunnistamisen teknisiä erityisratkaisuja.

Luottamuspalvelut

• Asetuksessa määritellään luottamuspalvelut vastiketta vastaan tarjottaviksi palveluiksi, jotka koostuvat
  • sähköisten allekirjoitusten, sähköisten leimojen, sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja näihin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista
  • verkkosivustojen varmentamisen luomisesta, tarkastamisesta, validoinnista tai
  • näihin palveluihin liittyvien sähköisten allekirjoitusten, leimojen tai varmenteiden säilyttämisestä.
• EU:ssa sijaitsevia luottamuspalvelun tarjoajia pidetään ”hyväksyttyinä”, kun ne täyttävät asetuksessa säädetyt sovellettavat vaatimukset. Ne saavat lain nojalla tarjota hyväksyttyjä luottamuspalveluja (esim. hyväksyttyjä sähköisiä allekirjoituksia, leimoja tai todistuksia) kaikissa EU-maissa. Kolmansien maiden luottamuspalvelun tarjoajien tarjoamat luottamuspalvelut voidaan tunnustaa oikeusvaikutuksiltaan vastaaviksi, mutta ainoastaan sen jälkeen, kun EU-maan ja kolmannen maan tai kansainvälisen järjestön kesken on tehty sopimus.

Valvonta

• EU-maiden on valittava yksi tai useampi elin vastaamaan tämän asetuksen mukaisista valvontatoimista. Näiden elinten on tarpeen vaatiessa toimittava yhteistyössä tietosuojaviranomaisten kanssa.
• Kaikkia luottamuspalvelun tarjoajia koskevat valvonta sekä riskinhallinta ja velvollisuus ilmoittaa tietoturvaloukkauksesta.
• Muihin kuin hyväksyttyihin luottamuspalvelun tarjoajiin sovelletaan kevyttä valvontaa, toisin sanoen valvontaelin reagoi vain, jos se epäilee tarjoajaa rikkomuksesta.
• EU:ssa sijaitseviin hyväksyttyihin tarjoajiin sovelletaan tiukkaa valvontaa. Tähän sisältyy valvontaelinten suorittama ennakkovarmistaminen ja sellaisen järjestön suorittamat tilintarkastukset vähintään kerran kahdessa vuodessa, joka arvioi täyttääkö tarjoaja asetuksen vaatimustenmukaisuusvaatimukset.
• Uusi, vapaaehtoinen EU:n luotettavuusmerkki auttaa tunnistamaan asianmukaisen tarjoajan hyväksytyt luottamuspalvelut.

Euroopan komission vuonna 2015 hyväksymillä lukuisilla asiakirjoilla säädellään:

• EU-maiden välisen sähköistä tunnistamista koskevan yhteistyön menettelyä koskevia järjestelyjä
• hyväksyttyjen luottamuspalvelujen EU:n luotettavuusmerkkiä koskevia eritelmiä
• yhteentoimivuusjärjestelmien teknisiä ja toimintaa koskevia vaatimuksia
• sähköisen tunnistamisen varmuustasojen teknisiä vähimmäisvaatimuksia ja menettelyjä
• luotettujen luetteloiden teknisiä eritelmiä ja muotoja
• julkisen sektorin elinten tunnistamien kehittyneiden sähköisten allekirjoitusten ja kehittyneiden sähköisten leimojen muotoja koskevia eritelmiä ja
• sähköisen tunnistamisen järjestelmien ilmoittamisen olosuhteita, muotoseikkoja ja menettelyjä.

MISTÄ ALKAEN ASETUSTA SOVELLETAAN?

Sitä sovelletaan 17. syyskuuta 2014 alkaen.

KESKEINEN TERMI

* sähköinen tunnistaminen: aineelliset tai aineettomat tunnistetiedot, jotka sisältävät henkilötietoja ja joita käytetään verkkopalveluun liittyvään todentamiseen.

SÄÄDÖS

Euroopan parlamentin ja neuvoston (EU) No 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (EUVL L 257, 28.8.2014, s. 73-114)

Asetukseen (EU) N:o 910/2014 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Tämä konsolidoitu versio on tarkoitettu ainoastaan dokumentointitarkoituksiin.

Viimeisin päivitys: 17.03.2016