Komission päätös,

tehty 6 päivänä marraskuuta 2000,

vähimmäisedellytyksistä, jotka jäsenvaltioiden on otettava huomioon nimetessään sähköisiä allekirjoituksia koskevista yhteisön puitteista annetun Euroopan parlamentin ja neuvoston direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisia laitoksia

(tiedoksiannettu numerolla K(2000) 3179)

(ETA:n kannalta merkityksellinen teksti)

(2000/709/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon sähköisiä allekirjoituksia koskevista yhteisön puitteista 13 päivänä joulukuuta 1999 annetun Euroopan parlamentin ja neuvoston direktiivin 1999/93/EY(1), ja erityisesti sen 3 artiklan 4 kohdan,

sekä katsoo seuraavaa:

(1) Euroopan parlamentti ja neuvosto antoivat 13 päivänä joulukuuta 1999 direktiivin 1999/93/EY sähköisiä allekirjoituksia koskevista yhteisön puitteista.

(2) Direktiivin 1999/93/EY liitteessä III vahvistetaan turvallisia allekirjoituksen luomismenetelmiä koskevat vaatimukset. Direktiivin 3 artiklan 4 kohdan mukaisesti jäsenvaltioiden nimeämät asianmukaiset julkiset tai yksityiset laitokset määrittelevät, ovatko turvalliset allekirjoituksen luomismenetelmät liitteessä III vahvistettujen vaatimusten mukaisia, ja komissio vahvistaa perusteet, joiden mukaan jäsenvaltiot määrittelevät, voidaanko laitos nimetä tekemään tällaisia vaatimustenmukaisuuden arviointeja.

(3) Komissio voi laatia edellä mainitut perusteet vasta kuultuaan direktiivin 1999/93/EY 9 artiklan 1 kohdassa tarkoitettua "sähköisten allekirjoitusten komiteaa".

(4) Tässä päätöksessä säädetyt toimenpiteet ovat sähköisten allekirjoitusten komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Tämän päätöksen tarkoitus on vahvistaa perusteet, joita jäsenvaltiot käyttävät nimetessään turvallisten allekirjoitusten luomismenetelmien arviointia suorittavia kansallisia laitoksia.

2 artikla

Mikäli nimettävä laitos on osa organisaatiota, joka tekee myös muuta kuin arvioi, ovatko turvalliset allekirjoitusten luomismenetelmät direktiivin 1999/93/EY liitteessä III määriteltyjen vaatimusten mukaiset, laitoksen on oltava tunnistettavissa kyseisen organisaation erillisenä yksikkönä. Eri toiminnot on voitava selkeästi erottaa toisistaan.

3 artikla

Laitos ja sen henkilökunta eivät saa osallistua toimintoihin, jotka saattavat olla ristiriidassa työssä vaadittavan itsenäisen arvostelukyvyn ja puolueettomuuden kanssa. Erityisesti laitoksen on oltava muista alalla toimivista tahoista riippumaton. Sen vuoksi laitos sekä sen johto ja vaatimustenmukaisuutta arvioiva henkilökunta eivät saa olla turvallisten allekirjoitusten luomismenetelmien suunnittelijoita, valmistajia, toimittajia eivätkä asentajia, eivätkä ne myöskään saa olla varmennepalvelun tarjoajia, jotka myöntävät varmenteita yleisölle eivätkä näiden valtuutettuja edustajia.

Lisäksi laitosten on oltava taloudellisesti riippumattomia eivätkä ne saa olla suoraan tekemisissä turvallisten allekirjoitusten luomismenetelmien suunnittelun, rakentamisen, markkinoinnin tai ylläpidon kanssa taikka edustaa näissä toiminnoissa toimivia tahoja. Tämä ei estä mahdollisuutta teknisten tietojen vaihtoon valmistajan ja nimetyn laitoksen välillä.

4 artikla

Laitoksen ja sen henkilökunnan on pystyttävä määrittelemään, ovatko turvalliset allekirjoitusten luomismenetelmät direktiivin 1999/93/EY liitteessä III vahvistettujen vaatimusten mukaiset, ammatillisia periaatteita tinkimättömästi noudattaen, luotettavasti ja riittävällä teknisellä pätevyydellä.

5 artikla

Laitoksen on käytettävä selkeitä vaatimustenmukaisuuden arviointikäytänteitä ja kirjattava kaikki olennaiset näitä käytänteitä koskevat tiedot. Kaikilla asiaan liittyvillä tahoilla on oltava oikeus käyttää laitoksen palveluja. Laitoksen on toimittava syrjimättömällä tavalla.

6 artikla

Laitoksella on oltava käytettävissään tarvittava henkilökunta sekä tarvittavat tilat ja välineistö, jotta se voi suorittaa oikein ja ripeästi teknisen ja hallinnollisen työn, jota varten se on nimetty.

7 artikla

Vaatimustenmukaisuuden arvioinnissa vastaavalla henkilökunnalla on oltava:

- vankka tekninen ja ammatillinen koulutus, erityisesti sähköisen allekirjoituksen tekniikoiden ja niihin liittyvien tietoteknisten turvallisuusnäkökohtien alalta,

- tyydyttävät tiedot tehtävänään olevasta vaatimustenmukaisuuden arvioinnista ja riittävä kokemus tällaisten arviointien tekemisestä.

8 artikla

Henkilökunnan puolueettomuus on taattava. Heidän palkkauksensa ei saa riippua tehtyjen vaatimustenmukaisuuden arviointien määrästä eikä niiden tuloksista.

9 artikla

Laitoksen on järjestettävä riittävä suoja toiminnastaan syntyvien vastuiden kattamiseksi esimerkiksi asianmukaisin vakuutuksin.

10 artikla

Laitoksen on tehtävä asianmukaiset järjestelyt sen tiedon luottamuksellisuuden varmistamiseksi, jota se saa tehdessään direktiivissä 1999/93/EY tai sen täytäntöön panemiseksi annetussa kansallisessa lainsäädännössä määriteltyä työtä. Luottamuksellisuudesta poiketaan kuitenkin laitoksen nimeävän jäsenvaltion toimivaltaisten viranomaisten osalta.

11 artikla

Mikäli nimetty laitos antaa osan vaatimustenmukaisuuden arviointityöstä jonkun muun tahon tehtäväksi, sen on varmistettava ja voitava osoittaa, että kyseinen taho on pätevä tekemään kyseessä olevan työn. Nimetyn laitoksen on kannettava täysi vastuu tällaisen järjestelyn tuloksena tehdystä työstä. Lopulliset päätökset tekee nimetty laitos.

12 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 6 päivänä marraskuuta 2000.

Komission puolesta

Erkki Liikanen

Komission jäsen

(1) EYVL L 13, 19.1.2000, s. 12.