PERUSTELUT

1.           EHDOTUKSEN TAUSTA

Näissä perusteluissa selitetään ehdotetut oikeudelliset puitteet, joiden on tarkoitus lisätä sähköisiin transaktioihin sisämarkkinoilla kohdistuvaa luottamusta.

Verkkoympäristöön kohdistuvan luottamuksen lujittaminen on talouden kehityksen kannalta olennaisen tärkeää. Luottamuksen puutteen vuoksi kuluttajat, yritykset ja hallinnot vierastavat sähköisten transaktioiden ja uusien palvelujen käyttöä.

Euroopan digitaalistrategiassa[1] tarkastellaan Euroopan digitaalialan kehityksen esteitä ja ehdotetaan lainsäädäntöä sähköisten allekirjoitusten (avaintoiminto 1) sekä sähköisen tunnistamisen ja todentamisen vastavuoroisen tunnustamisen (avaintoiminto 16) alalla. Lainsäädännöllä on tarkoitus luoda selkeät oikeudelliset puitteet, jotta voidaan poistaa hajanaisuus ja yhteentoimivuuspuutteet, kehittää digitaalista kansalaisuutta edelleen sekä ehkäistä verkkorikollisuutta. Digitaalisten sisämarkkinoiden toteutumisen kannalta tärkeitä tekijöitä ovat myös lainsäädäntötoimet, joilla pyritään varmistamaan sähköisen tunnistamisen ja todentamisen vastavuoroinen tunnustaminen, sekä sähköisiä allekirjoituksia koskevan direktiivin uudelleentarkastelu. Nämä ovat avaintoimintoja Sisämarkkinoiden toimenpidepaketissa[2]. Etenemissuunnitelmassa kohti vakautta ja kasvua[3] tähdennetään, että digitaalitalouden kehityksen kannalta on keskeisen tärkeää saada aikaan oikeudelliset puitteet rajojen yli tapahtuvaa sähköisen tunnistamisen ja todentamisen vastavuoroista tunnustamista ja hyväksymistä varten.

Ehdotetuilla oikeudellisilla puitteilla, eli Euroopan parlamentin ja neuvoston asetuksella sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla, pyritään mahdollistamaan turvallinen ja sujuva sähköinen vuorovaikutus yritysten, kansalaisten ja viranomaisten välillä ja parantamaan näin julkisten ja yksityisten verkkopalvelujen, sähköisen liiketoiminnan ja sähköisen kaupankäynnin toimivuutta EU:ssa.

Voimassa oleva EU-lainsäädäntö, tarkemmin sanottuna sähköisiä allekirjoituksia koskevista yhteisön puitteista annettu direktiivi 1999/93/EY[4], kattaa periaatteessa vain sähköiset allekirjoitukset. Turvallisia, luotettavia ja helppokäyttöisiä sähköisiä transaktioita varten ei ole olemassa kokonaisvaltaisia rajat ylittäviä ja eri alat kattavia EU:n puitteita, jotka kattaisivat sähköisen tunnistamisen, sähköisen todentamisen ja sähköiset allekirjoitukset.

Tavoitteena on parantaa nykylainsäädäntöä ja laajentaa sitä kattamaan EU-tasolla ilmoitettujen sähköisen tunnistamisen järjestelmien ja niihin liittyvien keskeisten sähköisten luottamuspalvelujen vastavuoroinen tunnustaminen ja hyväksyntä.

2.           INTRESSITAHOJEN KUULEMISEN JA VAIKUTUSTEN ARVIOINNIN TULOKSET

Tämä aloite on tulos laajoista kuulemisista, jotka koskivat nykyisten sähköisiä allekirjoituksia koskevien oikeudellisten puitteiden uudelleentarkastelua. Kuulemisissa komissio keräsi näkemyksiä jäsenvaltioilta, Euroopan parlamentilta ja muilta sidosryhmiltä[5]. Internetissä toteutettua julkista kuulemista täydennettiin pk-yrityspaneelin lausunnolla, jossa tuotiin esiin erityisiä näkökohtia ja tarpeita pk-yritysten näkökulmasta, sekä muilla kohdennetuilla sidosryhmäkuulemisilla[6],[7]. Komissio teetti myös joukon tutkimuksia, jotka koskivat sähköistä tunnistamista, todentamista, allekirjoittamista ja näihin liittyviä luottamuspalveluja (electronic identification, authentication, signature and related trust services, eIAS).

Kuulemisissa kävi selvästi ilmi, että sidosryhmien suuri enemmistö piti tarpeellisena tarkistaa nykyisiä puitteita sähköisistä allekirjoituksia annetun direktiivin jättämien aukkojen paikkaamiseksi. Tämän nähtiin auttavan vastaamaan paremmin uusien teknologioiden (erityisesti verkko- ja mobiiliyhteyksien) nopean kehityksen ja globalisaation haasteisiin, mutta säilyttämään kuitenkin oikeudellisten puitteiden teknologianeutraalius.

Parempaa sääntelyä koskevan politiikkansa mukaisesti komissio arvioi eri toimintavaihtoehtojen vaikutusta. Arvioinnin kohteena oli kolme vaihtoehtokokonaisuutta, jotka koskivat 1) uusien puitteiden soveltamisalaa, 2) valittavaa oikeudellista välinettä ja 3) tarvittavan valvonnan tasoa[8]. Parhaimmaksi toimintavaihtoehdoksi osoittautui oikeusvarmuuden parantaminen, kansallisen valvonnan koordinoinnin parantaminen, sähköisen tunnistamisen järjestelmien keskinäisen tunnustamisen ja hyväksymisen varmistaminen ja keskeisten asiaan liittyvien luottamuspalvelujen ottaminen mukaan sääntelyn piiriin. Vaikutusten arvioinnissa todettiin, että tämä parantaisi huomattavasti oikeusvarmuutta, turvallisuutta ja luottamusta rajat ylittävissä sähköisissä transaktioissa ja vähentäisi markkinoiden hajanaisuutta.

3.           EHDOTUKSEN OIKEUDELLINEN SISÄLTÖ

3.1 Oikeusperusta

Tämä ehdotus perustuu SEUT-sopimuksen 114 artiklaan, joka koskee sääntöjen vahvistamista jäljellä olevien sisämarkkinoiden toiminnan esteiden poistamiseksi. Säännöillä on tarkoitus antaa kansalaisille, yrityksille ja viranomaisille mahdollisuus hyötyä sähköisen tunnistamisen, todentamisen ja allekirjoittamisen ja niihin liittyvien luottamuspalvelujen vastavuoroisesta tunnustamisesta ja hyväksymisestä rajojen yli, kun niitä tarvitaan sähköisten menettelyjen tai transaktioiden käyttämiseen ja suorittamiseen.

Sopivimmaksi oikeudelliseksi välineeksi katsotaan asetus. SEUT-sopimuksen 288 artiklaan perustuva asetuksen suora sovellettavuus vähentää oikeudellista hajanaisuutta ja mahdollistaa paremman oikeusvarmuuden tuomalla käyttöön yhdenmukaistetun joukon keskeisiä sääntöjä, jotka edesauttavat sisämarkkinoiden toimintaa.

3.2 Toissijaisuus- ja suhteellisuusperiaate

Jotta EU:n toimet olisivat perusteltuja, on noudatettava toissijaisuusperiaatetta:

a) Ongelman ylikansallinen luonne (tarpeellisuustesti)

Sähköisten luottamuspalvelujen ylikansallinen luonne edellyttää EU-toimia. Yksin maakohtaiset (eli kansalliset) toimet eivät riittäisi päämääriin pääsemiseen eivätkä Eurooppa 2020 -strategiassa[9] asetettujen tavoitteiden saavuttamiseen. Kokemus on osoittanut, että kansalliset toimet ovat käytännössä aiheuttaneet esteitä sähköisten allekirjoitusten EU:n laajuiselle yhteentoimivuudelle, ja että ne vaikuttavat tällä hetkellä samalla tavoin sähköiseen tunnistamiseen, sähköiseen todentamiseen ja näihin liittyviin luottamuspalveluihin. EU:n on näin ollen luotava mahdollistavat puitteet rajat ylittävän yhteentoimivuuden tueksi ja kansallisten valvontajärjestelmien koordinoinnin parantamiseksi. Sähköistä tunnistamista ei ehdotetussa asetuksessa kuitenkaan voida käsitellä samalla tavoin yleistasolla kuin muita luottamukseen perustuvia sähköisiä palveluja, koska tunnisteet kuuluvat kansalliseen toimivaltaan. Näin ollen ehdotuksessa keskitytään tiukasti maiden rajat ylittäviin sähköisen tunnistamisen näkökohtiin.

Ehdotetulla asetuksella luodaan luottamuspalveluja tarjoaville yrityksille tasavertaiset toimintaolosuhteet, koska nykyiset erot kansallisessa lainsäädännössä johtavat usein oikeudelliseen epävarmuuteen ja aiheuttavat lisätaakkaa. Oikeusvarmuus lisääntyy merkittävästi, kun jäsenvaltioille asetetaan selkeitä velvollisuuksia hyväksyä muualla EU:ssa jo hyväksytyt luottamuspalvelut. Tämä luo yrityksille lisäkannustimen toimia ulkomailla. Yritys voi esimerkiksi osallistua sähköisesti toisen jäsenvaltion hallinnon julkiseen tarjouskilpailuun ilman riskiä, että sen sähköinen allekirjoitus ei kelpaisi kansallisten erityisvaatimusten tai yhteentoimivuusongelmien vuoksi. Vastaavasti yrityksellä on mahdollisuus allekirjoittaa sopimuksia sähköisesti toiseen jäsenvaltioon sijoittautuneen vastapuolen kanssa ilman pelkoa siitä, että luottamuspalveluihin, kuten sähköisiin leimoihin, sähköisiin asiakirjoihin tai aikaleimoihin sovellettaisiin erilaisia oikeudellisia vaatimuksia. Myös erilaiset laiminlyöntejä koskevat ilmoitukset voidaan toimittaa jäsenvaltiosta toiseen varmana siitä, että ne ovat oikeudellisesti päteviä kummassakin jäsenvaltiossa. Luottamus verkkokauppaa kohtaan lisääntyy, kun ostajilla on keinot varmistaa, että he todella asioivat valitsemansa kauppiaan verkkosivustolla mahdollisesti väärennetyn sivuston sijaan.

Vastavuoroisesti tunnustetut sähköisen tunnistamisen menetelmät ja laajalti hyväksytyt sähköiset allekirjoitukset helpottavat lukuisten palvelujen tarjontaa rajojen yli sisämarkkinoilla ja antavat yrityksille mahdollisuuden toimia rajojen yli ilman esteitä viranomaisasioinnissa. Käytännössä tämä merkitsee huomattavia tehokkuusparannuksia yrityksille ja kansalaisille hallinnollisten muodollisuuksien hoitamisessa. Esimerkiksi opiskelija voi kirjoittautua ulkomaiseen yliopistoon sähköisesti, kansalainen voi jättää toiseen jäsenvaltioon veroilmoituksen verkossa ja potilas tutustua potilastietoihinsa verkossa. Ellei käytössä ole tällaisia vastavuoroisesti tunnustettuja sähköisen tunnistamisen menetelmiä, lääkäri ei pääse käsiksi potilaan hoidossa tarvittaviin tietoihin ja potilaan jo läpikäymät tutkimukset ja laboratoriotestit on suoritettava uudelleen.

b) Tehokkuustesti (lisäarvo)

Edellä kuvattuja tavoitteita ei tällä hetkellä olla saavuttamassa jäsenvaltioiden vapaaehtoisen koordinoinnin avulla, eikä näin todennäköisesti tapahdu tulevaisuudessakaan. Tämä johtaa panostusten päällekkäisyyteen, erilaisten standardien asettamiseen, tieto- ja viestintätekniikan johdonnaisvaikutusten ylikansallisten piirteiden huomiotta jättämiseen sekä hallinnolliseen monimutkaisuuteen. joka aiheutuu tarvittavan koordinoinnin luomisesta kahden- tai monenvälisillä sopimuksilla.

Lisäksi sellaiset ongelmat kuin a) sähköisistä allekirjoituksista annetun direktiivin erilaisten tulkintojen johdosta toisistaan poikkeavien kansallisten säännösten aiheuttaman oikeusvarmuuden puute ja b) teknisten standardien epäyhtenäisestä soveltamisesta johtuva sähköisiä allekirjoituksia koskevien kansallisten järjestelmien yhteentoimivuuden puute edellyttävät sen tyyppistä EU:n jäsenvaltioiden koordinointia, joka voidaan tuloksellisemmin toteuttaa EU-tasolla.

3.3 Ehdotuksen yksityiskohtainen kuvaus

3.3.1      I LUKU – YLEISET SÄÄNNÖKSET

Ehdotuksen 1 artiklassa määritellään asetuksen kohde.

Ehdotuksen 2 artiklassa määritellään asetuksen aineellinen soveltamisala.

Ehdotuksen 3 artiklassa esitetään asetuksessa käytettyjen käsitteiden määritelmät. Osa määritelmistä on otettu direktiivistä 1999/93/EY, osaa on selvennetty, osaa on täydennetty lisäelementein ja osa on uusia.

Ehdotuksen 4 artiklassa määritellään sisämarkkinaperiaatteet asetuksen alueellisen soveltamisen osalta. Tähän sisältyy nimenomainen maininta siitä, että palvelujen tarjonnan vapautta ja tuotteiden vapaata liikkuvuutta ei rajoiteta.

3.3.2      II LUKU – SÄHKÖINEN TUNNISTAMINEN

Ehdotuksen 5 artiklassa säädetään asetuksessa säädetyin ehdoin komissiolle ilmoitettavan järjestelmän piiriin kuuluvien sähköisten tunnistamismenetelmien vastavuoroisesta tunnustamisesta ja hyväksymisestä. Useimmilla EU:n jäsenvaltioilla on jonkinlainen sähköisen tunnistamisen järjestelmä. Ne kuitenkin eroavat toisistaan monessa suhteessa. Se, että ei ole yhteistä oikeusperustaa, joka edellyttäisi kutakin jäsenvaltiota tunnustamaan ja hyväksymään toisessa maassa hyväksytyt, verkkopalvelujen käyttöön tarvittavat sähköiset tunnistamismenetelmät, sekä kansallisten sähköisen tunnistamisen menetelmien riittämätön yhteentoimivuus rajojen yli luo esteitä, joiden vuoksi kansalaiset ja yritykset eivät saa täyttä hyötyä digitaalisista sisämarkkinoista. Kaikkien tämän asetuksen nojalla ilmoitettujen järjestelmien piiriin kuuluvien sähköisten tunnistamismenetelmien vastavuoroinen tunnustaminen ja hyväksyminen poistaa nämä oikeudelliset esteet.

Asetus ei velvoita jäsenvaltioita ottamaan käyttöön tai ilmoittamaan sähköisen tunnistamisen järjestelmiä, vaan tunnustamaan ja hyväksymään ilmoitetut tunnistamismenetelmät niitä verkkopalveluja varten, joihin pääsy edellyttää kansallisella tasolla sähköistä tunnistamista. Rajojen yli tapahtuvan ilmoitettujen sähköisen tunnistamisen menetelmien ja todentamisjärjestelmien aikaansaama mittakaavaetujen mahdollinen lisääntyminen voi kannustaa jäsenvaltioita ilmoittamaan sähköisen tunnistamisen järjestelmiään. Ehdotuksen 6 artiklassa asetetaan sähköisen tunnistamisen järjestelmien ilmoittamiselle viisi edellytystä:

Jäsenvaltiot voivat ilmoittaa sähköisen tunnistamisen järjestelmät, jotka ne hyväksyvät lainkäyttöalueellaan, kun kyseisiä sähköisen tunnistamisen järjestelmiä tarvitaan julkisten palvelujen käyttöön. Lisävaatimuksena on, että kyseiset sähköisen tunnistamisen menetelmät on täytynyt antaa käyttöön ilmoittavan jäsenvaltion toimesta, puolesta tai ainakin sen vastuulla.

Jäsenvaltioiden on varmistettava yksiselitteinen yhteys sähköisten tunnistamistietojen ja kyseisen henkilön välille. Tämä velvoite ei tarkoita, että henkilöllä ei voisi olla useita sähköisiä tunnisteita, mutta niiden kaikkien on oltava yhteydessä samaan henkilöön.

Sähköisen tunnistamisen luotettavuus riippuu todentamiskeinon olemassaolosta (eli mahdollisuudesta tarkistaa sähköisten tunnistamistietojen pätevyys). Asetus velvoittaa ilmoittavat jäsenvaltiot tarjoamaan verkkotodennusta kolmansille osapuolille veloituksetta. Todentamismahdollisuuden on oltava saatavilla keskeytyksettä. Tällaiseen todentamiseen turvautuville tahoille ei saa asettaa minkäänlaisia teknisiä, esimerkiksi laitteistoihin tai ohjelmistoihin liittyviä, vaatimuksia. Tämä säännös ei koske sellaisia sähköisen tunnistamismenetelmän käyttäjille (haltijoille) asetettavia vaatimuksia, jotka ovat teknisesti välttämättömiä sähköisen tunnistamismenetelmän, esimerkiksi kortinlukijan, käyttämiseksi.

Jäsenvaltioiden on otettava vastuu tunnistamisyhteyden yksiselitteisyydestä (eli että kyseiseen henkilöön liitetyt tunnistetiedot eivät ole yhteydessä kehenkään muuhun henkilöön) ja todentamismahdollisuudesta (eli mahdollisuudesta tarkistaa sähköisten tunnistustietojen pätevyys). Jäsenvaltioiden vastuu ei kata tunnistamisprosessin muita näkökohtia tai tunnistamista edellyttäviä transaktioita.

Ehdotuksen 7 artikla sisältää sääntöjä sähköisten tunnistamisjärjestelmien ilmoittamisesta komissiolle.

Ehdotuksen 8 artiklalla pyritään varmistamaan ilmoitettujen tunnistamisjärjestelmien tekninen yhteentoimivuus koordinointilähestymistavan avulla käyttäen esimerkiksi delegoituja säädöksiä.

3.3.3      III LUKU – LUOTTAMUSPALVELUT

3.3.3.1 1 jakso – Yleiset säännökset

Ehdotuksen 9 artiklassa esitetään periaatteet, jotka liittyvät sekä ei-hyväksyttyihin että hyväksyttyihin luottamuspalvelujen tarjoajiin. Se perustuu direktiivin 1999/93/EY 6 artiklaan ja laajentaa korvausvastuuta vahingoissa, joita luottamuspalveluntarjoaja on aiheuttanut laiminlyömällä tietoturvan hyviä käytänteitä tavalla, joka on johtanut palveluun merkittävästi vaikuttavaan tietoturvaongelmaan.

Ehdotuksen 10 artiklassa kuvataan mekanismi, jolla tunnustetaan ja hyväksytään kolmanteen maahan sijoittautuneen tarjoajan hyväksytty luottamuspalvelu. Se perustuu direktiivin 1999/93/EY 7 artiklaan, mutta säilyttää ainoastaan ainoan käytännössä toteuttamiskelpoisen vaihtoehdon, eli tällaisen tunnustamisen mahdollistamisen Euroopan unionin ja kolmansien maiden tai kansainvälisten organisaatioiden välisen kansainvälisen sopimuksen nojalla.

Ehdotuksen 11 artiklassa esitetään tietosuojaan sekä tietojen keruun ja käytön minimointiin liittyvät periaatteet. Se perustuu direktiivin 1999/93/EY 8 artiklaan.

Ehdotuksen 12 artiklassa säädetään luottamuspalvelujen esteettömyydestä vammaisten näkökulmasta.

3.3.3.2 2 jakso – Valvonta

Ehdotuksen 13 artiklassa, joka pohjautuu direktiivin 1999/93/EY 3 artiklan 3 kohtaan, jäsenvaltiot velvoitetaan perustamaan valvontaelimet, sekä laajennetaan niiden tehtävänantoa sekä yleensä luottamuspalveluntarjoajien että hyväksyttyjen luottamuspalvelujen tarjoajien suhteen.

Ehdotuksen 14 artiklalla otetaan käyttöön nimenomainen jäsenvaltioiden valvontaelinten keskinäisen avunannon mekanismi helpottamaan luottamuspalveluntarjoajien valvontaa rajojen yli. Artikla sisältää sääntöjä yhteisoperaatioista ja valvontaviranomaisten oikeudesta osallistua niihin.

Ehdotuksen 15 artiklassa asetetaan sekä ei-hyväksytyille että hyväksytyille luottamuspalvelujen tarjoajille velvollisuus toteuttaa tarvittavat tekniset ja organisatoriset järjestelyt toimintojensa tietoturvan takaamiseksi. Lisäksi toimivaltaisille valvontaelimille ja muille asiaankuuluville viranomaisille on ilmoitettava mahdollisista tietoturvaloukkauksista. Tarvittaessa ne ilmoittavat asiasta muiden jäsenvaltioiden valvontaelimille sekä suoraan tai kyseisen luottamuspalveluntarjoajan kautta suurelle yleisölle.

Ehdotuksen 16 artiklassa asetetaan ehdot, joita sovelletaan hyväksyttyihin luottamuspalvelujen tarjoajiin ja niiden tarjoamiin hyväksyttyihin luottamuspalveluihin. Artiklassa säädetään, että hyväksytyt luottamuspalvelujen tarjoajat on tarkastettava vuosittain tunnustetun riippumattoman tahon toimesta, jotta valvontaelimelle voidaan osoittaa, että ne täyttävät asetuksessa säädetyt velvoitteet. Lisäksi 16 artiklan 2 kohdassa annetaan valvontaelimelle oikeus suorittaa milloin tahansa tarkastuksia hyväksytyn luottamuspalvelujen tarjoajan tiloissa. Valvontaelimelle annetaan lisäksi oikeus antaa hyväksytyille luottamuspalvelujen tarjoajille sitovia määräyksiä korjata kohtuulliseksi katsotulla tavalla tietoturvatarkastuksessa todetut mahdolliset puutteet velvoitteiden noudattamisessa.

Ehdotuksen 17 artikla koskee valvontaelimen toimenpiteitä, kun luottamuspalveluntarjoaja on ilmoittanut halukkuudestaan käynnistää hyväksytty luottamuspalvelu.

Ehdotuksen 18 artiklassa säädetään luotettavien luettelojen[10] perustamisesta. Kyseiset luettelot sisältävät tietoa hyväksytyistä palvelujen tarjoajista, jotka ovat valvonnan alaisia, sekä niiden tarjoamista hyväksytyistä palveluista. Nämä tiedot on asetettava julkisesti saataville yhteisen mallin mukaisesti, jotta niiden automatisoitu käyttö olisi helpompaa ja ne olisivat riittävän yksityiskohtaisia.

Ehdotuksen 19 artiklassa asetetaan vaatimukset, jotka hyväksyttyjen luottamuspalvelujen tarjoajien on täytettävä, jotta ne voidaan tunnustaa sellaisiksi. Se perustuu direktiivin 1999/93/EY liitteeseen II.

3.3.3.3 3 jakso – Sähköinen allekirjoitus

Ehdotuksen 20 artikla sisältää säännöt, jotka liittyvät luonnollisten henkilöiden sähköisten allekirjoitusten oikeusvaikutuksiin. Sillä selkeytetään ja laajennetaan direktiivin 1999/93/EY 5 artiklaa ja asetetaan nimenomainen velvollisuus antaa hyväksytyille sähköisille allekirjoituksille samat oikeusvaikutukset kuin käsin kirjoitetuille allekirjoituksille. Lisäksi jäsenvaltioiden on varmistettava hyväksyttyjen sähköisten allekirjoitusten hyväksyntä rajojen yli julkisten palvelujen tarjonnan yhteydessä. Ne eivät saa asettaa lisävaatimuksia, jotka voisivat toimia esteinä tällaisten allekirjoitusten käytölle.

Ehdotuksen 21 artiklassa esitetään hyväksytyille allekirjoitusvarmenteille asetettavat vaatimukset. Sillä selkeytetään direktiivin 1999/93/EY liitettä I ja poistetaan säännökset, jotta ovat osoittautuneet käytännössä toimimattomiksi (esim. transaktioita koskevat arvomääräiset rajoitukset).

Ehdotuksen 22 artiklassa esitetään hyväksytyille sähköisten allekirjoitusten luontivälineille asetettavat vaatimukset. Siinä selvennetään turvallisia allekirjoituksen luontivälineitä koskevia direktiivin 1999/93/EY 3 artiklan 5 kohdassa säädettyjä vaatimuksia. Tällaiset välineet on nyt katsottava tämän asetuksen mukaisiksi hyväksytyiksi allekirjoituksen luontivälineiksi. Siinä myös tehdään selväksi, että allekirjoituksen luontiväline voi käsittää paljon muutakin kuin vain allekirjoituksen luontitiedot sisältävän välineen. Komissio voi myös laatia luettelon välineiden tietoturvavaatimuksia koskevien standardien viitenumeroista.

Ehdotuksen 23 artiklassa, joka perustuu direktiivin 1999/93/EY 3 artiklan 4 kohtaan, otetaan käyttöön hyväksyttyjen sähköisten allekirjoitusvälineiden sertifiointi, jolla määritellään, täyttävätkö ne liitteessä II asetetut tietoturvavaatimukset. Kaikkien jäsenvaltioiden on tunnustettava tällaiset välineet vaatimusten mukaisiksi, kun sertifioinnin on suorittanut jäsenvaltion nimeämä sertifiointilaitos. Komissio julkaisee luettelon tällaisista sertifioiduista välineistä 24 artiklan mukaisesti. Komissio voi myös laatia luettelon niiden standardien viitenumeroista, joita käytetään 23 artiklan 1 kohdassa tarkoitetussa tietotekniikkatuotteiden tietoturva-arvioinnissa.

Ehdotuksen 24 artikla koskee hyväksyttyjen sähköisen allekirjoituksen luontivälineiden luetteloa, jonka komissio julkaisee saatuaan jäsenvaltioilta ilmoitukset välineiden vaatimustenmukaisuudesta.

Ehdotuksen 25 artikla perustuu direktiivin 1999/93/EY liitteen IV suosituksiin asettaa sitovia vaatimuksia hyväksyttyjen sähköisten allekirjoitusten validoinnille, jotta tällaisen validoinnin oikeusvarmuus lisääntyisi.

Ehdotuksen 26 artiklassa esitetään ehdot hyväksytyille validointipalveluille.

Ehdotuksen 27 artiklassa määritellään ehdot, jotka koskevat hyväksyttyjen sähköisten allekirjoitusten pitkäaikaista säilyttämistä. Pitkäaikainen säilyttäminen on mahdollista käyttäen menetelmiä ja teknologioita, joilla voidaan jatkaa hyväksyttyjen sähköisten allekirjoitusten validointitietojen luotettavuutta senkin jälkeen, kun niiden teknologinen voimassaolo on päättynyt ja ne ovat tulleet alttiimmiksi verkkorikollisten väärennysyrityksille.

3.3.3.4 4 jakso – Sähköiset leimat

Ehdotuksen 28 artikla koskee oikeushenkilöiden sähköisten leimojen oikeusvaikutuksia. Hyväksyttyyn sähköiseen leimaan liitetään erityinen oikeusolettama, jonka mukaan se takaa siihen yhteydessä olevien sähköisten asiakirjojen alkuperän ja koskemattomuuden.

Ehdotuksen 29 artiklassa esitetään sähköisten leimojen hyväksytyille varmenteille asetettavat vaatimukset.

Ehdotuksen 30 artiklassa säädetään hyväksyttyjen sähköisten leimojen luontivälineiden vaatimuksista ja sertifioinnista sekä niitä koskevan luettelon julkaisemisesta.

Ehdotuksen 31 artiklassa määritellään ehdot, jotka koskevat hyväksyttyjen sähköisten leimojen validointia ja säilyttämistä.

3.3.3.5 5 jakso – Sähköinen aikaleima

Ehdotuksen 32 artikla koskee sähköisten aikaleimojen oikeusvaikutuksia. Hyväksyttyihin sähköisiin aikaleimoihin liitetään erityinen oikeusolettama ilmoitetun ajan varmuuden suhteen.

Ehdotuksen 33 artiklassa esitetään hyväksytyille sähköisille aikaleimoille asetettavat vaatimukset.

3.3.3.6 6 jakso – Sähköiset asiakirjat

Ehdotuksen 34 artikla liittyy sähköisten asiakirjojen oikeusvaikutuksiin ja hyväksymisehtoihin. Hyväksytyllä sähköisellä allekirjoituksella allekirjoitettuun tai hyväksytyllä sähköisellä leimalla varustettuun sähköiseen asiakirjaan liitetään erityinen oikeusolettama sen aitoudesta ja koskemattomuudesta. Sähköisten asiakirjojen hyväksymisestä säädetään, että kun julkisen palvelun tarjontaa varten vaaditaan alkuperäistä asiakirjaa tai sen oikeaksi todistettua jäljennöstä, muiden jäsenvaltioiden on ilman lisävaatimuksia hyväksyttävä ainakin sellaiset sähköiset asiakirjat, jotka on myöntänyt kyseisten asiakirjojen myöntämiseen valtuutettu henkilö ja jotka katsotaan alkuperäjäsenvaltion lainsäädännössä alkuperäiskappaleiksi tai oikeaksi todistetuiksi jäljennöksiksi.

3.3.3.7 7 jakso – Sähköiset jakelupalvelut

Ehdotuksen 35 artikla koskee sähköisen jakelupalvelun kautta lähetettyjen tai vastaanotettujen tietojen oikeusvaikutuksia. Hyväksytyille sähköisille jakelupalveluille taataan erityinen oikeusolettama, joka koskee lähetettyjen tai vastaanotettujen tietojen koskemattomuutta ja tietojen lähettämis- tai vastaanottoajankohdan oikeellisuutta. Sillä taataan myös hyväksyttyjen sähköisten jakelupalvelujen vastavuoroinen tunnustaminen EU-tasolla.

Ehdotuksen 36 artiklassa esitetään hyväksytyille sähköisille jakelupalveluille asetettavat vaatimukset.

3.3.3.8 8 jakso – Verkkosivustojen todentaminen

Tällä jaksolla pyritään varmistamaan, että verkkosivuston omistaja pystytään todentamaan luotettavasti.

Ehdotuksen 37 artiklassa säädetään hyväksytyistä varmenteista, joilla voidaan todentaa verkkosivuston aitous. Verkkosivuston todentamisessa käytettävä hyväksytty varmenne sisältää luotettavat vähimmäistiedot verkkosivustosta ja sen omistajan oikeudellisesta olemassaolosta.

3.3.4      IV LUKU – DELEGOIDUT SÄÄDÖKSET

Ehdotuksen 38 artikla sisältää SEUT-sopimuksen 290 artiklan mukaiset siirretyn säädösvallan käyttöä (delegoidut säädökset) koskevat vakiosäännökset. SEUT-sopimuksen 290 artiklan mukaan lainsäätäjä voi siirtää komissiolle vallan antaa muita kuin lainsäätämisjärjestyksessä hyväksyttäviä, soveltamisalaltaan yleisiä säädöksiä, joilla täydennetään tai muutetaan lainsäätämisjärjestyksessä hyväksytyn säädöksen tiettyjä, muita kuin sen keskeisiä osia.

3.3.5      V LUKU – TÄYTÄNTÖÖNPANOSÄÄDÖKSET

Ehdotuksen 39 artiklassa säädetään komiteamenettelystä, jolla komissiolle siirretään täytäntöönpanovaltaa sellaisia tapauksia varten, joissa unionin oikeudellisesti velvoittavat säädökset edellyttävät SEUT-sopimuksen 291 artiklan mukaisesti yhdenmukaista täytäntöönpanoa. Sovelletaan tarkastelumenettelyä.

3.3.6      VI LUKU – LOPPUSÄÄNNÖKSET

Ehdotuksen 40 artiklassa velvoitetaan komissio arvioimaan asetusta ja raportoimaan huomioistaan.

Ehdotuksen 41 artiklalla kumotaan direktiivi 1999/93/EY ja säädetään sähköisten allekirjoitusten nykyisen infrastruktuurin sujuvasta sopeuttamisesta asetuksen uusiin vaatimuksiin.

Ehdotuksen 42 artiklassa vahvistetaan asetuksen voimaantulopäivä.

4.           TALOUSARVIOVAIKUTUKSET

Ehdotuksen talousarviovaikutukset liittyvät Euroopan komissiolle osoitettuihin tehtäviin, jotka täsmennetään ehdotuksen liitteenä olevassa rahoitusselvityksessä.

Ehdotus ei vaikuta toimintamenoihin.

Tämän asetusehdotuksen liitteenä oleva rahoitusselvitys kattaa asetuksen talousarviovaikutukset.

2012/0146 (COD)

Ehdotus

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 114 artiklan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen, kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon[11],

ovat kuulleet Euroopan tietosuojavaltuutettua[12],

noudattavat tavallista lainsäätämisjärjestystä,

sekä katsovat seuraavaa:

(1)       Verkkoympäristöön kohdistuvan luottamuksen lujittaminen on talouden kehityksen kannalta olennaisen tärkeää. Luottamuksen puutteen vuoksi kuluttajat, yritykset ja hallinnot vierastavat sähköisten transaktioiden ja uusien palvelujen käyttöä.

(2)       Tällä asetuksella pyritään lisäämään luottamusta sähköisiin transaktioihin sisämarkkinoilla mahdollistamalla turvallinen ja sujuva sähköinen vuorovaikutus yritysten, kansalaisten ja viranomaisten välillä ja parantamalla näin julkisten ja yksityisten verkkopalvelujen, sähköisen liiketoiminnan ja sähköisen kaupankäynnin toimivuutta unionissa.

(3)       Sähköisiä allekirjoituksia koskevista yhteisön puitteista 13 päivänä joulukuuta 1999 annettu Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY[13] koski lähinnä sähköisiä allekirjoituksia, eikä tarjonnut kokonaisvaltaisia rajat ylittäviä ja eri alat kattavia EU:n puitteita turvallisia, luotettavia ja helppokäyttöisiä sähköisiä transaktioita varten. Tämä asetus parantaa ja laajentaa direktiiviin liittyvää säännöstöä.

(4)       Komission laatimassa Euroopan digitaalistrategiassa[14] todettiin digitaalimarkkinoiden hajanaisuus, yhteentoimivuuden puutteet ja verkkorikollisuuden lisääntyminen vakaviksi esteiksi digitaalitalouden hyvän kierteen syntymiselle. Katsauksessaan Euroopan unionin kansalaisuuteen vuonna 2010[15] komissio nosti edelleen esiin tarpeen ratkaista vaikeimmat ongelmat, jotka edelleen estävät Euroopan kansalaisia hyötymästä digitaalisista sisämarkkinoista ja rajat ylittävistä digitaalisista palveluista.

(5)       Eurooppa-neuvosto on kehottanut komissiota luomaan digitaaliset sisämarkkinat vuoteen 2015 mennessä[16], pyrkimään nopeaan edistymiseen digitaalitalouden keskeisillä osa-alueilla ja edistämään digitaalisten sisämarkkinoiden täyttä yhdentymistä[17] helpottamalla verkkopalvelujen käyttöä rajojen yli kiinnittäen erityistä huomiota turvallisen sähköisen tunnistamisen ja todentamisen helpottamiseen.

(6)       Neuvosto on pyytänyt komissiota edesauttamaan digitaalisten sisämarkkinoiden kehittymistä luomalla tarvittavat edellytykset tärkeimpien rajat ylittävien mahdollistavien tekijöiden, kuten sähköisen tunnistamisen, sähköisten asiakirjojen, sähköisten allekirjoitusten ja sähköisten jakelupalvelujen, vastavuoroista tunnustamista varten sekä yhteentoimivia sähköisen hallinnon palveluja varten koko Euroopan unionissa.[18]

(7)       Euroopan parlamentti on korostanut turvallisuuden merkitystä sähköisten palvelujen, erityisesti sähköisten allekirjoitusten, yhteydessä sekä sitä, että on tarpeen luoda yleiseurooppalaisella tasolla julkisen avaimen infrastruktuuri, ja kehottanut komissiota perustamaan validointiviranomaisten eurooppalaisen portaalin, jolla varmistetaan sähköisten allekirjoitusten rajatylittävä yhteentoimivuus ja parannetaan internetissä suoritettujen maksujen turvallisuutta.[19]

(8)       Palveluista sisämarkkinoilla 12 päivänä joulukuuta 2006 annetussa Euroopan parlamentin ja neuvoston direktiivissä 2006/123/EY[20] pyydetään jäsenvaltioita perustamaan keskitettyjä asiointipisteitä sen varmistamiseksi, että kaikki palvelutoiminnan aloittamiseen ja harjoittamiseen liittyvät menettelyt ja muodollisuudet voidaan hoitaa vaivatta etäältä ja sähköisesti asianomaisen keskitetyn asiointipisteen kautta ja asianomaisten toimivaltaisten viranomaisten kanssa. Monet keskitettyjen asiointipisteiden kautta käytettävissä olevat verkkopalvelut edellyttävät sähköistä tunnistamista, todentamista ja allekirjoittamista.

(9)       Useimmissa tapauksissa toisesta jäsenvaltiosta tulevat palveluntarjoajat eivät voi käyttää sähköistä tunnistettaan näiden palvelujen käyttämiseen, koska niiden kotimaan kansallisia sähköisen tunnistamisen järjestelmiä ei tunnusteta ja hyväksytä muissa jäsenvaltioissa. Tämä sähköinen este riistää palveluntarjoajilta mahdollisuuden hyödyntää kaikkia sisämarkkinoiden suomia etuja. Vastavuoroisesti tunnustetut ja hyväksytyt sähköisen tunnistamisen menetelmät helpottavat lukuisten palvelujen tarjontaa rajojen yli sisämarkkinoilla ja antavat yrityksille mahdollisuuden toimia rajojen yli ilman, että ne kohtaavat monia esteitä viranomaisasioinnissa.

(10)     Potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa 9 päivänä maaliskuuta 2011 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2011/24/EU[21] perustetaan sähköisestä terveydenhuollosta vastaavien kansallisten viranomaisten verkosto. Rajat ylittävän terveydenhuollon turvallisuuden ja jatkuvuuden parantamiseksi verkoston on määrä tuottaa ohjeistoja rajat ylittävästä pääsystä sähköisiin terveystietoihin ja -palveluihin muun muassa tukemalla ”yhteisiä tunnistamismenetelmiä ja alkuperäisyyden toteamismenetelmiä, jotta voidaan helpottaa tietojen siirrettävyyttä rajatylittävässä terveydenhoidossa”. Sähköisen tunnistamisen ja todentamisen vastavuoroinen tunnustaminen ja todentaminen on olennaisen tärkeää tuotaessa rajat ylittävää terveydenhuoltoa Euroopan kansalaisten ulottuville. Kun ihmiset matkustavat ulkomaille saamaan hoitoa, heidän potilastietojensa on oltava saatavilla hoitomaassa. Tämä edellyttää vankkoja, turvallisia ja luotettuja sähköisen tunnistamisen puitteita.

(11)     Yksi tämän asetuksen tavoitteista on poistaa ainakin julkisten palvelujen osalta nykyiset esteet, jotka haittaavat jäsenvaltioiden käytössä olevien sähköisten tunnistamismenetelmien käyttöä rajojen yli. Tällä asetuksella ei pyritä puuttumaan jäsenvaltioissa käytettäviin sähköisen identiteetin hallintajärjestelmiin ja niihin liittyviin infrastruktuureihin. Tämän asetuksen päämääränä on varmistaa, että jäsenvaltioiden tarjoamia rajat ylittäviä verkkopalveluja varten on käytössä turvallisia sähköisiä tunnistamis- ja todentamismenetelmiä.

(12)     Jäsenvaltioiden olisi edelleen vapaasti voitava käyttää ja ottaa käyttöön verkkopalvelujen edellyttämiä sähköisen tunnistamisen menetelmiä. Niiden olisi myös voitava päättää, ottavatko ne yksityisen sektorin mukaan näiden menetelmien tarjontaan. Jäsenvaltioita ei pitäisi velvoittaa ilmoittamaan sähköisen tunnistamisen järjestelmiään, vaan niiden olisi voitava päättää, ilmoittavatko ne ja missä laajuudessa kansallisella tasolla käytetyt sähköisen tunnistamisen järjestelmät, joita tarvitaan ainakin julkisten verkkopalvelujen tai tiettyjen palvelujen käyttöön.

(13)     Asetuksessa on asetettava joitakin ehtoja sille, mitkä sähköisen tunnistamisen menetelmät on hyväksyttävä ja miten järjestelmät olisi ilmoitettava. Näiden avulla jäsenvaltioiden olisi helpompi rakentaa tarvittavaa luottamusta toistensa sähköisiin tunnistamisjärjestelmiin ja tunnustaa vastavuoroisesti ja hyväksyä sähköisen tunnistamisen menetelmät, jotka kuuluvat ilmoitettujen järjestelmien piiriin. Vastavuoroisen tunnustamisen ja hyväksymisen periaatetta olisi sovellettava, jos ilmoittava jäsenvaltio täyttää ilmoittamiselle asetetut ehdot ja ilmoitus on julkaistu Euroopan unionin virallisessa lehdessä. Näihin verkkopalveluihin pääsyn ja niiden lopputarjonnan käyttäjälle olisi kuitenkin oltavat tiiviisti sidoksissa kansallisessa lainsäädännössä asetettuihin ehtoihin, jotka koskevat oikeutta saada hyödyntää kyseisiä palveluja.

(14)     Jäsenvaltioiden olisi voitava päättää ottaa yksityinen sektori mukaan sähköisen tunnistamisen menetelmien tarjontaan ja antaa yksityiselle sektorille oikeus käyttää ilmoitetun järjestelmän piiriin kuuluvia sähköisen tunnistamisen menetelmiä tunnistamistarkoituksiin, kun se on tarpeen verkkopalveluissa tai sähköisissä transaktioissa. Tällaisten sähköisen tunnistamisen menetelmien käyttömahdollisuuden ansiosta yksityinen sektori voisi tukeutua monissa jäsenvaltioissa ainakin julkisissa palveluissa jo laajasti käytettyihin sähköisen tunnistamisen ja todentamisen tapoihin, jolloin yritysten ja kansalaisten olisi helpompi käyttää niiden verkkopalveluja rajojen yli. Jotta yksityisen sektorin olisi helpompi käyttää tällaisia sähköisen tunnistamisen menetelmiä rajojen yli, jäsenvaltioiden tarjoaman todentamismahdollisuuden olisi oltava siihen tukeutuvien tahojen käytettävissä ilman syrjintää julkisen ja yksityisen sektorin välillä.

(15)     Ilmoitetun järjestelmän piiriin kuuluvien sähköisen tunnistamisen menetelmien käyttö rajojen yli edellyttää jäsenvaltioilta yhteistyötä teknisen yhteentoimivuuden mahdollistamiseksi. Tämän vuoksi kansallisella tasolla ei voida asettaa erityisiä sääntöjä, joiden vuoksi ulkomaisten tahojen olisi hankittava tiettyjä laitteistoja tai ohjelmistoja ilmoitetun sähköisen tunnistuksen tarkastamiseksi ja validoimiseksi. Toisaalta käyttäjille asetettavilta, erilaisten tunnistamisvälineiden (esim. älykortin) ominaispiirteistä johtuvilta teknisiltä vaatimuksilta ei kuitenkaan voida välttyä.

(16)     Jäsenvaltioiden yhteistyön olisi edesautettava ilmoitettujen sähköisen tunnistamisen järjestelmien teknistä yhteentoimivuutta ja siinä olisi pyrittävä vaalimaan luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen. Tällaisessa yhteistyössä olisi apua tiedonvaihdosta ja parhaiden käytäntöjen jakamisesta, jolla pyritään järjestelmien vastavuoroiseen tunnustamiseen.

(17)     Tällä asetuksella olisi luotava myös yleiset oikeudelliset puitteet sähköisten luottamuspalvelujen käytölle. Sillä ei kuitenkaan pitäisi asettaa yleistä velvollisuutta käyttää niitä. Sen ei varsinkaan pitäisi kattaa yksityisoikeudellisiin vapaaehtoisiin sopimuksiin perustuvien palvelujen tarjontaa. Sen ei myöskään pitäisi kattaa näkökohtia, jotka liittyvät sellaisten sopimusten tai muiden oikeudellisten velvoitteiden vahvistamiseen ja pätevyyteen, joihin sisältyy kansallisessa tai unionin lainsäädännössä asetettuja muotovaatimuksia.

(18)     Sähköisten luottamuspalvelujen yleisen rajat ylittävän käytön edistämiseksi niitä olisi voitava käyttää todisteena oikeudellisissa menettelyissä kaikissa jäsenvaltioissa.

(19)     Jäsenvaltioiden olisi edelleen vapaasti voitava määritellä muun tyyppisiä luottamuspalveluja kuin ne, jotka sisältyvät tässä asetuksessa säädettyyn suljettuun luottamuspalvelujen luetteloon, tunnustettaviksi kansallisella tasolla hyväksytyiksi luottamuspalveluiksi.

(20)     Teknologian muutosnopeuden vuoksi tässä asetuksessa olisi omaksuttava lähestymistapa, joka on avoin innovaatioille.

(21)     Tämän asetuksen olisi oltava teknologianeutraali. Sen oikeusvaikutusten olisi oltava saavutettavissa millä tahansa teknisellä menetelmällä, kunhan asetuksen vaatimukset täyttyvät.

(22)     Sisämarkkinoita kohtaan tunnetun luottamuksen vahvistamiseksi ja luottamuspalvelujen ja ‑tuotteiden käytön lisäämiseksi olisi otettava käyttöön hyväksyttyjen luottamuspalvelujen ja hyväksyttyjen luottamuspalvelujen tarjoajien käsitteet, joiden avulla voitaisiin määritellä vaatimukset ja velvoitteet, joita noudattamalla voidaan varmistaa minkä tahansa käytettävän tai tarjottavan hyväksytyn luottamuspalvelun tai ‑tuotteen korkea tietoturvataso.

(23)     EU:ssa voimaan tulleeseen vammaisten henkilöiden oikeuksia koskevaan YK:n yleissopimukseen sisältyvien velvoitteiden mukaisesti vammaisten olisi voitava käyttää luottamuspalveluja ja niiden tarjoamiseksi tarvittavia loppukäyttäjätuotteita tasavertaisesti muiden kuluttajien kanssa.

(24)     Luottamuspalvelun tarjoaja on henkilötietojen rekisterinpitäjä, joten sen on täytettävä velvollisuudet, joista säädetään yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY[22]. Tietoja olisi kerättävä mahdollisimman vähän ottaen huomioon tarjottavan palvelun tarkoitus.

(25)     Valvontaelinten olisi tehtävä yhteistyötä ja vaihdettava tietoa tietosuojaviranomaisten kanssa sen varmistamiseksi, että palveluntarjoajat noudattavat asianmukaisesti tietosuojalainsäädäntöä. Tiedonvaihdon olisi koskettava erityisesti tietoturvapoikkeamia ja henkilötietojen suojan loukkauksia.

(26)     Kaikkien luottamuspalvelujen tarjoajien olisi noudatettava niiden toimintaan liittyvien riskien mukaisia hyviä tietoturvakäytänteitä, jotta käyttäjien luottamus sisämarkkinoita kohtaan lujittuisi.

(27)     Salanimien käytön sallimisen varmenteissa ei tulisi estää jäsenvaltioita edellyttämästä henkilöiden tunnistamista unionin tai kansallisen lainsäädännön mukaisesti.

(28)     Kaikkien jäsenvaltioiden olisi noudatettava yhteisiä keskeisiä valvontavaatimuksia, jotta hyväksytyille luottamuspalveluille voitaisiin taata vastaava tietoturvataso. Jotta näiden vaatimusten johdonmukainen soveltaminen koko unionissa olisi helpompaa, jäsenvaltioiden olisi otettava käyttöön keskenään vertailukelpoiset menettelyt ja vaihdettava tietoa valvontatoiminnastaan ja alan parhaista käytännöistä.

(29)     Tietoturvaloukkauksista ja turvallisuusriskien arvioinneista ilmoittaminen on olennaisen tärkeää, jotta asianomaisille tahoille voidaan antaa tarvittavaa tietoa tietoturvaloukkaustapauksissa tai tietojen koskemattomuuden ollessa uhattuna.

(30)     Jotta komissio ja jäsenvaltiot voisivat arvioida tällä asetuksella perustetun tietoturvaloukkausten ilmoitusmekanismin toimivuutta, valvontaelimiä olisi pyydettävä toimittamaan asiasta tiivistettyä tietoa komissiolle ja Euroopan verkko- ja tietoturvavirastolle ENISAlle.

(31)     Jotta komissio ja jäsenvaltiot voisivat arvioida tämän asetuksen vaikutuksia, valvontaelimiä olisi pyydettävä toimittamaan tilastotietoja hyväksyttyjen luottamuspalvelujen käytöstä.

(32)     Jotta komissio ja jäsenvaltiot voisivat arvioida tällä asetuksella käyttöön otetun tehostetun valvontamekanismin tuloksellisuutta, valvontaelimiä olisi pyydettävä raportoimaan toiminnastaan. Tämä edistäisi hyvien käytänteiden vaihtoa valvontaelinten välillä ja antaisi varmuuden siitä, että keskeisiä valvontavaatimuksia noudatetaan johdonmukaisesti ja tehokkaasti kaikissa jäsenvaltioissa.

(33)     Hyväksyttyjen luottamuspalvelujen kestävyyden ja jatkuvuuden varmistamiseksi ja hyväksyttyjen luottamuspalvelujen jatkuvuuteen kohdistuvan käyttäjien luottamuksen lisäämiseksi valvontaelimien olisi varmistettava, että hyväksyttyjen luottamuspalvelujen tarjoajien tiedot säilytetään ja pidetään saatavilla asianmukaisen ajan myös sen jälkeen, kun hyväksytty luottamuspalvelujen tarjoaja on lopettanut toimintansa.

(34)     Hyväksyttyjen luottamuspalvelujen tarjoajien valvonnan helpottamiseksi esimerkiksi silloin, kun palveluntarjoaja tarjoajaa palvelujaan toisen jäsenvaltion alueella, eikä kuulu valvonnan piiriin siellä, tai kun palveluntarjoajan tietokoneet sijaitsevat toisen jäsenvaltion kuin sen sijoittautumisvaltion alueella, olisi perustettava jäsenvaltioiden valvontaelinten keskinäisen avun järjestelmä.

(35)     Luottamuspalvelujen tarjoajien vastuulla on täyttää luottamuspalvelujen tarjonnalle tässä asetuksessa säädetyt vaatimukset erityisesti hyväksyttyjen luottamuspalvelujen osalta. Valvontaelinten vastuulla on valvoa sitä, miten luottamuspalvelujen tarjoajat noudattavat näitä vaatimuksia.

(36)     Jotta saataisiin aikaan tehokas aloitusprosessi, jonka pitäisi johtaa hyväksyttyjen luottamuspalvelujen tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen sisällyttämiseen luotettaviin luetteloihin, olisi edistettävä hyväksyttyjen luottamuspalvelujen mahdollisten tarjoajien ja toimivaltaisen valvontaelimen alustavaa yhteydenpitoa, joka helpottaisi hyväksyttyjen luottamuspalvelujen tarjontaa edeltävää asianmukaista taustaselvitystä.

(37)     Luotettavat luettelot ovat olennaisia tekijöitä rakennettaessa luottamusta markkinatoimijoiden keskuudessa, koska ne osoittavat palveluntarjoajan hyväksytyn aseman valvonnan ajankohtana, mutta toisaalta ne eivät ole edellytys hyväksytyn aseman saavuttamiselle ja hyväksyttyjen luottamuspalvelujen tarjonnalle, joka perustuu tämän asetuksen vaatimusten täyttämiseen.

(38)     Kun hyväksytystä luottamuspalvelusta on tehty ilmoitus, julkisen sektorin elin ei voi kieltäytyä hyväksymästä sitä hallinnollista menettelyä tai muodollisuutta varten sillä perusteella, että sitä ei ole sisällytetty jäsenvaltioiden laatimiin luotettaviin luetteloihin. Tässä yhteydessä julkisen sektorin elimellä tarkoitetaan mitä tahansa viranomaista tai muuta tahoa, jonka tehtäväksi on annettu tarjota sähköisen hallinnon palvelua, kuten verkossa toteutettua mahdollisuutta jättää veroilmoitus, pyytää syntymätodistusta tai osallistua sähköisiin julkisiin hankintamenettelyihin.

(39)     Vaikka sähköisten allekirjoitusten vastavuoroinen tunnustaminen edellyttää korkeaa tietoturvatasoa, tietyissä erityistapauksissa, kuten toimenpiteistä sähköisten menettelyjen käytön edistämiseksi keskitettyjä asiointipisteitä käyttäen palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY mukaisesti 16 päivänä lokakuuta 2009 tehdyn komission päätöksen 2009/767/EY[23] yhteydessä, myös alhaisemmalla tietoturvavarmistuksella toimivat sähköiset allekirjoitukset olisi hyväksyttävä.

(40)     Allekirjoittajan olisi voitava antaa hyväksytyt sähköisten allekirjoitusten luontivälineet kolmannen osapuolen hoidettaviksi, kunhan käytössä on tarvittavat mekanismit ja menettelyt, joilla varmistetaan, että allekirjoittajalla on yksinomainen määräysvalta sähköisen allekirjoituksensa luontitietojen käyttöön ja välineen käytössä noudatetaan hyväksytyille allekirjoituksille asetettuja vaatimuksia.

(41)     Allekirjoituksen pätevyyteen kohdistuvan oikeusvarmuuden varmistamiseksi on tärkeää yksilöidä ne hyväksytyn sähköisen allekirjoituksen osatekijät, jotka validoinnin suorittavan tahon on arvioitava. Määrittelemällä vaatimukset sellaisille hyväksytyille luottamuspalvelujen tarjoajille, jotka voivat tarjota hyväksyttyä validointipalvelua tahoille, jotka eivät halua tai voi itse suorittaa hyväksyttyjen sähköisten allekirjoitusten validointia, voitaisiin lisäksi edistää yksityisen ja julkisen sektorin investointeja tällaisiin palveluihin. Näillä molemmilla tekijöillä hyväksyttyjen sähköisten allekirjoitusten validoinnista voitaisiin tehdä helppoa ja sujuvaa kaikille osapuolille unionin tasolla.

(42)     Kun tietty transaktio edellyttää oikeushenkilön hyväksyttyä sähköistä leimaa, olisi samalla tavoin hyväksyttävä myös kyseisen oikeushenkilön valtuutetun edustajan hyväksytty sähköinen allekirjoitus.

(43)     Sähköisten leimojen olisi toimittava todisteena siitä, että tietty sähköinen asiakirja on lähtöisin tietyltä oikeushenkilöltä, ja varmistettava näin asiakirjan alkuperä ja koskemattomuus.

(44)     Tällä asetuksella olisi varmistettava tietojen pitkäaikainen säilyminen eli sähköisten allekirjoitusten ja sähköisten leimojen pitkän aikavälin oikeudellinen pätevyys, ja taattava näin, että ne voidaan validoida tulevista teknologian muutoksista riippumatta.

(45)     Rajojen yli tapahtuvan sähköisten asiakirjojen käytön tehostamiseksi tässä asetuksessa olisi säädettävä sähköisten asiakirjojen oikeusvaikutuksista, joiden olisi katsottava vastaavan paperiasiakirjojen oikeusvaikutuksia riippuen riskinarvioinnista ja edellyttäen, että asiakirjojen aitous ja koskemattomuus on varmistettu. Sisämarkkinoilla suoritettavien rajat ylittävien sähköisten transaktioiden jatkokehityksen kannalta on lisäksi tärkeää, että jäsenvaltion toimivaltaisilta viranomaisilta kansallisen lainsäädännön mukaisesti peräisin olevat alkuperäiset sähköiset asiakirjat tai niiden oikeaksi todistetut jäljennökset hyväksytään sellaisiksi myös muissa jäsenvaltioissa. Tämän asetuksen ei pitäisi vaikuttaa jäsenvaltioiden oikeuteen määritellä sitä, mitä kansallisella tasolla tarkoitetaan alkuperäiskappaleella tai jäljennöksellä, vaan varmistaa, että niitä voidaan käyttää sellaisina myös rajojen yli.

(46)     Koska toimivaltaiset viranomaiset jäsenvaltioissa käyttävät tällä hetkellä erilaisia kehittyneiden sähköisten allekirjoitusten muotoja asiakirjojensa sähköiseen allekirjoittamiseen, on tarpeen varmistaa, että jäsenvaltiot kykenevät teknisesti käsittelemään ainakin muutamia kehittyneiden sähköisten allekirjoitusten muotoja vastaanottaessaan sähköisesti allekirjoitettuja asiakirjoja. Kun jäsenvaltioiden toimivaltaiset viranomaiset käyttävät kehittyneitä sähköisiä leimoja, olisi vastaavasti välttämätöntä varmistaa, että ne kykenevät käsittelemään ainakin muutamia kehittyneiden sähköisten leimojen muotoja.

(47)     Oikeushenkilöltä peräisin olevan asiakirjan todentamisen lisäksi sähköisiä leimoja voidaan käyttää oikeushenkilön minkä tahansa omaisuuden, kuten ohjelmistokoodin tai palvelimen, todentamiseen.

(48)     Verkkosivustojen ja niiden omistajan todentamisen mahdollistaminen vaikeuttaisi verkkosivustojen väärentämistä ja vähentäisi näin petoksia.

(49)     Tämän asetuksen tiettyjen yksityiskohtaisten teknisten näkökohtien täydentämiseksi joustavasti ja nopeasti komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä perussopimuksen 290 artiklan mukaisesti seuraavien seikkojen osalta: sähköisen tunnistamisen yhteentoimivuus, luottamuspalvelujen tarjoajilta vaadittavat tietoturvatoimenpiteet, palveluntarjoajien tarkastamisesta vastaavat tunnustetut riippumattomat tahot, luotettavat luettelot, sähköisten allekirjoitusten tietoturvatasoihin liittyvät vaatimukset, sähköisten allekirjoitusten hyväksyttyihin varmenteisiin, niiden validointiin ja niiden säilyttämiseen liittyvät vaatimukset, hyväksyttyjen sähköisten allekirjoitusten luontivälineiden sertifioinnista vastaavat laitokset, sähköisten leimojen tietoturvatasoihin ja sähköisten leimojen hyväksyttyihin varmenteisiin liittyvät vaatimukset ja jakelupalvelujen yhteentoimivuus. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla.

(50)     Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti.

(51)     Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa, joka liittyy erityisesti niiden standardien viitenumeroiden ilmoittamiseen, joiden käyttö johtaa olettamaan tässä asetuksessa säädettyjen ja delegoiduissa säädöksissä määriteltyjen tiettyjen vaatimusten noudattamisesta. Tätä valtaa olisi käytettävä yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä, 16 päivänä helmikuuta 2011 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011[24] mukaisesti.

(52)     Oikeusvarmuuteen ja selkeyteen liittyvistä syistä direktiivi 1999/93/EY olisi kumottava.

(53)     Oikeusvarmuuden varmistamiseksi markkinatoimijoille, jotka jo käyttävät direktiivin 1999/93/EY mukaisia hyväksyttyjä varmenteita, on tarpeen säätää riittävästä siirtymäajasta. On myös tarpeen säätää komission mahdollisuudesta hyväksyä täytäntöönpanosäädökset ja delegoidut säädökset ennen kyseistä päivämäärää.

(54)     Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitteita, vaan ne voidaan suunnitellun toiminnan laajuuden vuoksi saavuttaa paremmin unionin tasolla, joten unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen tuon tavoitteen saavuttamiseksi, varsinkaan, mitä tulee komission rooliin kansallisten toimien koordinoijana,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

YLEISET SÄÄNNÖKSET

1 artikla

Kohde

1. Tässä asetuksessa annetaan sisämarkkinoiden asianmukaisen toiminnan varmistamiseksi sähköistä tunnistamista ja sähköisiin transaktioihin liittyviä luottamuspalveluja koskevia sääntöjä.

2. Tässä asetuksessa säädetään ehdoista, joiden mukaisesti jäsenvaltioiden on tunnustettava ja hyväksyttävä toisen jäsenvaltion ilmoittaman sähköisen tunnistamisen järjestelmän piiriin kuuluvat luonnollisten ja oikeushenkilöiden sähköisen tunnistamisen menetelmät.

3. Tällä asetuksella vahvistetaan oikeudelliset puitteet sähköisille allekirjoituksille, sähköisille leimoille, sähköisille aikaleimoille, sähköisille asiakirjoille, sähköisille jakelupalveluille ja verkkosivustojen todentamiselle.

4. Tällä asetuksella varmistetaan, että tämän asetuksen mukaiset luottamuspalvelut ja -tuotteet saavat liikkua vapaasti sisämarkkinoilla.

2 artikla

Soveltamisala

1. Tätä asetusta sovelletaan jäsenvaltioiden itsensä toteuttamaan, niiden puolesta toteutettuun tai niiden vastuulla tapahtuvaan sähköiseen tunnistamiseen sekä unioniin sijoittautuneisiin luottamuspalvelujen tarjoajiin.

2. Tätä asetusta ei sovelleta vapaaehtoisiin yksityisoikeudellisiin sopimuksiin perustuvien sähköisten luottamuspalvelujen tarjontaan.

3. Tätä asetusta ei sovelleta näkökohtiin, jotka liittyvät sellaisten sopimusten tai muiden oikeudellisten velvoitteiden vahvistamiseen ja pätevyyteen, joihin sisältyy kansallisessa tai unionin lainsäädännössä asetettuja muotovaatimuksia.

3 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan:

1) ‘sähköisellä tunnistamisella’ prosessia, jossa käytetään yksiselitteisesti tiettyä luonnollista tai oikeushenkilöä edustavia henkilön tunnistetietoja sähköisessä muodossa;

2) ‘sähköisen tunnistamisen menetelmällä’ aineellista tai aineetonta yksikköä, joka sisältää tämän artiklan 1 kohdassa tarkoitettuja tietoja ja jota käytetään 5 artiklassa tarkoitettuihin verkkopalveluihin pääsemiseksi;

3) ‘sähköisen tunnistamisen järjestelmällä’ sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköisen tunnistamisen menetelmiä annetaan tämän artiklan 1 kohdassa tarkoitettujen henkilöiden käyttöön;

4) ‘todentamisella’ sähköistä prosessia, joka mahdollistaa luonnollisen tai oikeushenkilön sähköisen tunnistamisen tai sähköisen tiedon alkuperän ja koskemattomuuden validoinnin;

5) ‘allekirjoittajalla’ luonnollista henkilöä, joka luo sähköisen allekirjoituksen;

6) ’sähköisellä allekirjoituksella’ sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen;

7) ‘kehittyneellä sähköisellä allekirjoituksella’ sähköistä allekirjoitusta, joka täyttää seuraavat vaatimukset:

a)      se liittyy yksiselitteisesti allekirjoittajaansa;

b)      sillä voidaan yksilöidä allekirjoittaja;

c)      se on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan ja

d)      se on liitetty kohteenaan olevaan tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita;

8) ‘hyväksytyllä sähköisellä allekirjoituksella’ kehittynyttä sähköistä allekirjoitusta, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen;

9) ‘sähköisen allekirjoituksen luontitiedoilla’ yksilöiviä tietoja, joita allekirjoittaja käyttää sähköisen allekirjoituksen luomiseen;

10) ‘varmenteella’ sähköistä todistusta, joka liittää luonnollisen henkilön sähköisen allekirjoituksen validointitiedot tai oikeushenkilön sähköisen leiman validointitiedot varmenteeseen ja vahvistaa nämä kyseiseen henkilöön liittyvät tiedot;

11) ‘sähköisen allekirjoituksen hyväksytyllä varmenteella’ todistusta, jota käytetään sähköisen allekirjoituksen tukena, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä I säädetyt vaatimukset;

12) ‘luottamuspalvelulla’ sähköistä palvelua, joka koostuu sähköisten allekirjoitusten, sähköisten leimojen, sähköisten aikaleimojen, sähköisten asiakirjojen, sähköisten jakelupalvelujen, verkkosivustojen todentamisen ja sähköisten varmenteiden, mukaan luettuina sähköisten allekirjoitusten ja sähköisten leimojen varmenteet, luomisesta, tarkastamisesta, validoinnista, käsittelystä ja säilyttämisestä;

13) ‘hyväksytyllä luottamuspalvelulla’ luottamuspalvelua, joka täyttää tässä asetuksessa säädetyt sovellettavat vaatimukset;

14) ‘luottamuspalvelun tarjoajalla’ luonnollista tai oikeushenkilöä, joka tarjoaa yhtä tai useampaa luottamuspalvelua;

15) ‘hyväksytyllä luottamuspalvelun tarjoajalla’ luottamuspalvelun tarjoajaa, joka täyttää tässä asetuksessa säädetyt vaatimukset;

16) ‘tuotteella’ laitteistoja tai ohjelmistoja tai niiden merkityksellisiä osia, jotka on tarkoitettu käytettäviksi luottamuspalvelujen tarjonnassa;

17) ‘sähköisen allekirjoituksen luontivälineellä’ asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen allekirjoituksen luomiseen;

18) ’hyväksytyllä sähköisen allekirjoituksen luontivälineellä’ sähköisen allekirjoituksen luontivälinettä, joka täyttää liitteessä II säädetyt vaatimukset;

19) ‘leiman luojalla’ oikeushenkilöä, joka luo sähköisen leiman;

20) ’sähköisellä leimalla’ sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jolla varmistetaan kyseisen muun tiedon alkuperä ja koskemattomuus;

21) ‘kehittyneellä sähköisellä leimalla’ sähköistä leimaa, joka täyttää seuraavat vaatimukset:

a)      se liittyy yksiselitteisesti leiman luojaan;

b)      sillä voidaan yksilöidä leiman luoja;

c)      se on luotu käyttäen sähköisen leiman luontitietoja, joita leiman luoja voi korkealla varmuustasolla käyttää valvonnassaan sähköisen leiman luomiseen ja

d)      se on liitetty kohteenaan olevaan tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita;

22) ‘hyväksytyllä sähköisellä leimalla’ kehittynyttä sähköistä leimaa, joka on luotu hyväksytyllä sähköisen leiman luontivälineellä ja joka perustuu sähköisen leiman hyväksyttyyn varmenteeseen;

23) ‘sähköisen leiman luontitiedoilla’ yksilöiviä tietoja, joita sähköisen leiman luoja käyttää sähköisen leiman luomiseen;

24) ‘sähköisen leiman hyväksytyllä varmenteella’ todistusta, jota käytetään sähköisen leiman tukena, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä III säädetyt vaatimukset;

25) ‘sähköisellä aikaleimalla’ sähköisessä muodossa olevia tietoja, jotka sitovat muita sähköisiä tietoja tiettyyn ajankohtaan ja muodostavat todisteen näiden muiden tietojen olemassaolosta kyseisenä ajankohtana;

26) ‘hyväksytyllä sähköisellä aikaleimalla’ sähköistä aikaleimaa, joka täyttää 33 artiklassa säädetyt vaatimukset;

27) ‘sähköisellä asiakirjalla’ missä tahansa sähköisessä muodossa olevaa asiakirjaa;

28) ‘sähköisellä jakelupalvelulla’ palvelua, jonka avulla tietoa voidaan siirtää sähköisesti ja joka antaa siirretyn tiedon käsittelyyn liittyviä todisteita, muun muassa vahvistuksen tietojen lähettämisestä tai vastaanottamisesta, ja joka suojaa siirretyt tiedot häviämisen, varkauden, vaurioitumisen tai luvattomien muutosten riskiltä;

29) ‘hyväksytyllä sähköisellä jakelupalvelulla’ sähköistä jakelupalvelua, joka täyttää artiklassa 36 säädetyt vaatimukset;

30) ‘verkkosivuston todentamisen hyväksytyllä varmenteella’ todistusta, jonka avulla verkkosivusto voidaan todentaa, joka liittää verkkosivuston siihen henkilöön, jolle varmenne on myönnetty, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä IV säädetyt vaatimukset;

31) ‘validointitiedoilla’ tietoja, joita käytetään sähköisen allekirjoituksen tai sähköisen leiman validointiin.

4 artikla

Sisämarkkinaperiaate

1. Toiseen jäsenvaltioon sijoittautuneen luottamuspalvelujen tarjoajan luottamuspalvelujen tarjontaa jäsenvaltion alueella ei saa rajoittaa syistä, jotka kuuluvat tämän asetuksen kattamiin aloihin.

2. Tämän asetuksen mukaisten tuotteiden on saatava liikkua vapaasti sisämarkkinoilla.

II LUKU

SÄHKÖINEN TUNNISTAMINEN

5 artikla

Vastavuoroinen tunnustaminen ja hyväksyminen

Kun verkkopalvelun käyttö edellyttää kansallisen lainsäädännön tai hallinnollisen käytännön nojalla sähköistä tunnistamista sähköisen tunnistamisen menetelmän ja todentamisen avulla, kaikki toisessa jäsenvaltiossa käyttöön otetut sähköisen tunnistamisen menetelmät, jotka kuuluvat sellaisen järjestelmän piiriin, joka sisältyy komission 7 artiklassa tarkoitettua menettelyä noudattaen julkaisemaan luetteloon, on tunnustettava ja hyväksyttävä kyseisen palvelun käyttöä varten.

6 artikla

Sähköisen tunnistamisen järjestelmien ilmoittamisehdot

1. Sähköisen tunnistamisen järjestelmä voidaan ilmoittaa 7 artiklan mukaisesti, jos kaikki seuraavat ehdot täyttyvät:

a)           sähköisen tunnistamisen menetelmä on annettu käyttöön ilmoittavan jäsenvaltion toimesta, sen puolesta tai sen vastuulla;

b)           sähköisen tunnistamisen menetelmää voidaan käyttää ainakin sellaisiin julkisiin palveluihin pääsemiseksi, jotka edellyttävät ilmoittavassa jäsenvaltiossa sähköistä tunnistamista;

c)           ilmoittava jäsenvaltio varmistaa, että henkilötunnistetiedot on liitetty yksiselitteisesti 3 artiklan 1 kohdassa tarkoitettuun luonnolliseen tai oikeushenkilöön;

d)           ilmoittava jäsenvaltio varmistaa, että verkossa on jatkuvasti ja veloituksetta käytettävissä todentamismahdollisuus niin, että mikä tahansa järjestelmään tukeutuva taho voi validoida sähköisessä muodossa vastaanotetut henkilökohtaiset tunnistetiedot. Jäsenvaltiot eivät saa asettaa niiden alueen ulkopuolelle sijoittautuneille, tällaista todentamismahdollisuutta hyödyntäville järjestelmään tukeutuville tahoille minkäänlaisia teknisiä erityisvaatimuksia. Jos ilmenee ilmoitettuun tunnistamisjärjestelmään tai todentamismahdollisuuteen liittyvä poikkeama tai näiden jonkin osan turvallisuus on vaarantunut, jäsenvaltioiden on viipymättä keskeytettävä tai peruutettava ilmoitettu tunnistamisjärjestelmä tai todentamismahdollisuus tai osa, jonka turvallisuus on vaarantunut, ja ilmoitettava asiasta muille jäsenvaltioille ja komissiolle 7 artiklan mukaisesti;

e)           ilmoittava jäsenvaltio ottaa vastuun:

– i) c alakohdassa tarkoitetusta henkilökohtaisten tunnistetietojen yksiselitteisestä liittämisestä ja

– ii) d alakohdassa kuvatusta todentamismahdollisuudesta.

2. Edellä 1 kohdassa olevalla e alakohdalla ei rajoiteta osapuolten vastuita transaktiossa, jossa käytetään ilmoitetun järjestelmän piiriin kuuluvaa sähköisen tunnistamisen menetelmää.

7 artikla

Ilmoittaminen

1. Sähköisen tunnistamisen järjestelmän ilmoittavien jäsenvaltioiden on ilman aiheetonta viivytystä toimitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset:

a)           kuvaus ilmoitetusta sähköisen tunnistamisen järjestelmästä;

b)           ilmoitetusta sähköisen tunnistamisen järjestelmästä vastaavat viranomaiset;

c)           tiedot siitä, mikä taho hallinnoi yksiselitteisten henkilötunnisteiden rekisteröintiä;

d)           kuvaus todentamismahdollisuudesta;

e)           järjestelyt joko ilmoitetun tunnistamisjärjestelmän tai todentamismahdollisuuden tai niiden osien, joiden turvallisuus on vaarantunut, keskeyttämistä tai peruuttamista varten.

2. Kuuden kuukauden kuluttua asetuksen voimaantulosta komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon 1 kohdan nojalla ilmoitetuista sähköisen tunnistamisen järjestelmistä sekä niitä koskevat perustiedot.

3. Jos komissio saa ilmoituksen 2 kohdassa tarkoitetun ajanjakson umpeutumisen jälkeen, se muuttaa luetteloa kolmen kuukauden kuluessa.

4. Komissio voi täytäntöönpanosäädöksillä määritellä 1 ja 3 kohdassa tarkoitettuun ilmoittamiseen liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

8 artikla

Koordinointi

1. Jäsenvaltioiden on tehtävä yhteistyötä varmistaakseen ilmoitetun järjestelmän piiriin kuuluvien sähköisen tunnistamisen menetelmien yhteentoimivuuden ja parantaakseen niiden tietoturvaa.

2. Komissio vahvistaa täytäntöönpanosäädöksin tarvittavat menettelyt 1 kohdassa tarkoitetun jäsenvaltioiden yhteistyön helpottamiseksi edistääkseen luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen. Täytäntöönpanosäädökset koskevat erityisesti sähköisen tunnistamisen järjestelmiä koskevien tietojen, kokemusten ja hyvien käytänteiden vaihtoa, ilmoitettujen sähköisen tunnistamisen järjestelmien vertaisarviointia ja jäsenvaltioiden toimivaltaisten viranomaisten harjoittamaa sähköisen tunnistamisen alan kehityksen tarkastelua. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3. Siirretään komissiolle valta antaa 38 artiklan mukaisesti delegoituja säädöksiä, jotka koskevat sähköisen tunnistamisen menetelmien maiden rajat ylittävän yhteentoimivuuden helpottamista asettamalla teknisiä vähimmäisvaatimuksia.

III LUKU

LUOTTAMUSPALVELUT

1 jakso

Yleiset säännökset

9 artikla

Vastuu

1. Luottamuspalvelun tarjoaja on vastuussa luonnolliselle tai oikeushenkilölle aiheutuvasta suorasta vahingosta, joka johtuu 15 artiklan 1 kohdassa säädettyjen velvollisuuksien laiminlyönnistä, jollei luottamuspalvelujen tarjoaja pysty todistamaan, ettei hän ole toiminut huolimattomasti.

2. Hyväksytty luottamuspalvelun tarjoaja on vastuussa luonnolliselle tai oikeushenkilölle aiheutuvasta suorasta vahingosta, joka johtuu tässä asetuksessa ja erityisesti 19 artiklassa säädettyjen vaatimusten täyttämättä jättämisestä, jollei hyväksytty luottamuspalvelujen tarjoaja pysty todistamaan, ettei hän ole toiminut huolimattomasti.

10 artikla

Kolmansista maista tulevat luottamuspalvelujen tarjoajat

1. Kolmanteen maahan sijoittautuneiden hyväksyttyjen luottamuspalvelun tarjoajien hyväksytyt luottamuspalvelut ja hyväksytyt varmenteet on hyväksyttävä unionin alueelle sijoittautuneiden hyväksyttyjen luottamuspalvelun tarjoajien hyväksytyiksi luottamuspalveluiksi ja hyväksytyiksi varmenteiksi, jos kolmannesta maasta lähtöisin olevat hyväksytyt luottamuspalvelut tai hyväksytyt varmenteet tunnustetaan unionin ja kolmansien maiden tai kansainvälisten järjestöjen välisen sopimuksen nojalla SEUT-sopimuksen 218 artiklan mukaisesti.

2. Edellä olevaan 1 kohtaan liittyen tällaisissa sopimuksissa on varmistettava, että kolmansissa maissa tai kansainvälisissä järjestöissä toimivat luottamuspalvelujen tarjoajat täyttävät unionin alueelle sijoittautuneiden hyväksyttyjen luottamuspalvelujen tarjoajien hyväksyttyihin luottamuspalveluihin ja hyväksyttyihin varmenteisiin sovellettavat vaatimukset erityisesti henkilötietojen suojan, tietoturvan ja valvonnan osalta.

11 artikla

Tietojen käsittely ja suojaaminen

1. Luottamuspalvelujen tarjoajien ja valvontaelinten on varmistettava, että henkilötietoja käsitellään lainmukaisesti ja oikeudenmukaisella tavalla noudattaen direktiiviä 95/46/EY.

2. Luottamuspalvelujen tarjoajien on noudatettava henkilötietojen käsittelyssä direktiiviä 95/46/EY. Tällaisessa käsittelyssä on pidättäydyttävä vähimmäistiedoissa, jotka ovat tarpeen varmenteen myöntämiseksi ja ylläpitämiseksi tai luottamuspalvelun tarjoamiseksi.

3. Luottamuspalvelujen tarjoajien on taattava luottamuspalvelujen tarjonnan kohteena olevaan henkilöön liittyvien tietojen luottamuksellisuus ja koskemattomuus.

4. Jäsenvaltiot eivät saa estää sitä, että luottamuspalvelujen tarjoaja ilmoittaa sähköisten allekirjoitusten varmenteissa allekirjoittajan todellisen nimen sijasta salanimen, sanotun kuitenkaan rajoittamatta salanimelle kansallisessa lainsäädännössä annettavia oikeusvaikutuksia.

12 artikla

Esteettömyys vammaisten näkökulmasta

Luottamuspalvelut ja niiden tarjonnassa käytetyt loppukäyttäjätuotteet on tehtävä vammaisille esteettömiksi aina kun se on mahdollista.

2 jakso

Valvonta

13 artikla

Valvontaelin

1. Jäsenvaltioiden on nimettävä asianmukainen elin, joka on sijoittautunut niiden alueelle tai keskinäisellä sopimuksella nimeävän jäsenvaltion vastuulla toiseen jäsenvaltioon. Valvontaelimille on annettava kaikki valvonta- ja tutkintavaltuudet, jotka ovat tarpeen niiden tehtävien hoitamiseksi.

2. Valvontaelin vastaa seuraavista tehtävistä:

a)           nimeävän jäsenvaltion alueelle sijoittautuneiden luottamuspalvelujen tarjoajien valvonta sen varmistamiseksi, että ne täyttävät 15 artiklassa säädetyt vaatimukset;

b)           nimeävän jäsenvaltion alueelle sijoittautuneiden hyväksyttyjen luottamuspalvelujen tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen valvonta sen varmistamiseksi, että palveluntarjoajat ja palvelut täyttävät niihin sovellettavat tässä asetuksessa säädetyt vaatimukset;

c)           sen varmistaminen, että 19 artiklan 2 kohdan g alakohdassa tarkoitetut ja hyväksyttyjen luottamuspalvelujen tarjoajien kirjaamat olennaiset tiedot säilytetään ja pidetään saatavilla palvelun jatkuvuuden takaamiseksi tarvittavan ajan sen jälkeen, kuin hyväksytty luottamuspalvelujen tarjoaja on lopettanut toimintansa.

3. Valvontaelimen on toimitettava vuosikertomus edellisen vuoden valvontatoiminnasta komissiolle ja jäsenvaltioille seuraavan vuoden ensimmäisen vuosineljänneksen loppuun mennessä. Sen on sisällettävä ainakin seuraavat tiedot:

a)           tiedot valvontaelimen valvontatoiminnasta;

b)           tiivistelmä luottamuspalvelujen tarjoajilta 15 artiklan 2 kohdan mukaisesti saaduista poikkeamailmoituksista;

c)           tilastotiedot hyväksyttyjen luottamuspalvelujen markkinoista ja käytöstä, mukaan luettuina tiedot hyväksytyistä luottamuspalvelujen tarjoajista, niiden tarjoamista hyväksytyistä luottamuspalveluista ja niiden käyttämistä tuotteista sekä yleiskuvaus niiden asiakkaista.

4. Jäsenvaltioiden on ilmoitettava komissiolle ja muille jäsenvaltioille nimeämänsä valvontaelimen nimi ja osoite.

5. Siirretään komissiolle valta antaa delegoituja säädöksiä 38 artiklan mukaisesti 2 kohdassa tarkoitettuihin tehtäviin sovellettavien menettelyjen määrittelyä varten.

6. Komissio voi täytäntöönpanosäädöksillä määritellä 3 kohdassa tarkoitettuun kertomukseen liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

14 artikla

Keskinäinen avunanto

1. Valvontaelinten on tehtävä yhteistyötä hyvien käytänteiden vaihtamiseksi ja jotta ne voivat tarjota toisilleen mahdollisimman nopeasti tarvittavaa tietoa ja keskinäistä apua niin, että toimintaa voidaan harjoittaa johdonmukaisesti. Keskinäinen avunanto kattaa erityisesti tietopyynnöt ja valvontatoimet, kuten pyynnöt suorittaa 15, 16 ja 17 artiklassa tarkoitettuihin tietoturvatarkastuksiin liittyviä selvityksiä.

2. Valvontaelin, jolle avunantopyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain jos

a)           sillä ei ole pyynnön edellyttämää toimivaltaa tai

b)           pyynnön noudattaminen olisi ristiriidassa tämän asetuksen kanssa.

3. Valvontaelimet voivat tarvittaessa toteuttaa yhteisselvityksiä, joihin osallistuu henkilöstöä muiden jäsenvaltioiden valvontaelimistä.

Sen jäsenvaltion valvontaelin, jossa selvitys on määrä suorittaa, voi kansallisen lainsäädäntönsä mukaisesti siirtää tutkintatehtäviä avustettavan valvontaelimen henkilöstölle. Tällaisia valtuuksia voidaan käyttää ainoastaan avustavan valvontaelimen henkilöstön ohjauksessa ja läsnä ollessa. Avustettavan valvontaelimen henkilöstöön sovelletaan avustavan valvontaelimen kansallista lainsäädäntöä. Avustava valvontaelin ottaa vastuun avustettavan valvontaelimen henkilöstön toimista.

4. Komissio voi täytäntöönpanosäädöksillä määritellä tässä artiklassa säädettyyn keskinäiseen avunantoon liittyvät muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

15 artikla

Luottamuspalvelujen tarjoajiin sovellettavat tietoturvavaatimukset

1. Unionin alueelle sijoittautuneiden luottamuspalvelujen tarjoajien on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet hallitakseen tarjoamiensa palvelujen tietoturvaan kohdistuvat riskit. Näillä toimenpiteillä on voitava varmistaa riskiin suhteutettu tietoturvataso, ottaen huomioon uusin tekniikka. Erityisesti on toteutettava toimenpiteet tietoturvapoikkeamien ehkäisemiseksi ja minimoimiseksi ja mahdollisten poikkeamien haittavaikutusten ilmoittamiseksi sidosryhmille.

Luottamuspalvelun tarjoaja voi toimittaa valvontaelimelle tunnustetun riippumattoman tahon suorittamaa tietoturvatarkastusta koskevan kertomuksen vahvistaakseen, että tarvittavat tietoturvatoimenpiteet on toteutettu, sanotun kuitenkaan rajoittamatta 16 artiklan 1 kohdan soveltamista.

2. Luottamuspalvelujen tarjoajien on ilman aiheetonta viivytystä ja jos mahdollista viimeistään 24 tunnin kuluessa siitä, kun asia on tullut niiden tietoon, ilmoitettava toimivaltaiselle valvontaelimelle, toimivaltaiselle tietoturvasta vastaavalle kansalliselle elimelle ja muille asiaan liittyville kolmansille osapuolille, kuten tietosuojaviranomaisille, kaikista tietoturvapoikkeamista ja koskemattomuuden menetyksistä, joilla on huomattavia vaikutuksia tarjottuun luottamuspalveluun ja sen puitteissa ylläpidettyihin henkilötietoihin.

Tarvittaessa ja erityisesti silloin, kun tietoturvapoikkeama tai koskemattomuuden menetys koskee kahta tai useampaa jäsenvaltiota, kyseisen valvontaelimen on ilmoitettava asiasta muiden jäsenvaltioiden valvontaelimille ja Euroopan verkko- ja tietoturvavirastolle ENISAlle.

Asianomainen valvontaelin voi tiedottaa asiasta yleisölle tai vaatia luottamuspalvelun tarjoajaa tiedottamaan siitä, jos se katsoo poikkeaman julkistamisen olevan yleisen edun mukaista.

3. Valvontaelimen on toimitettava ENISAlle ja komissiolle vuosittain tiivistelmä luottamuspalvelun tarjoajilta saamistaan poikkeamailmoituksista.

4. Edellä olevan 1 ja 2 kohdan täytäntöönpanemiseksi toimivaltaisella elimellä on oltava valtuudet antaa luottamuspalvelun tarjoajille sitovia määräyksiä.

5. Siirretään komissiolle valta antaa delegoituja säädöksiä 38 artiklan mukaisesti 1 kohdassa tarkoitettujen toimenpiteiden tarkempaa määrittelyä varten.

6. Komissio voi täytäntöönpanosäädöksillä määritellä 1–3 kohdan soveltamiseen liittyvät olosuhteet, muotoseikat ja menettelyt, mukaan luettuina määräajat. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

16 artikla

Hyväksyttyjen luottamuspalvelun tarjoajien valvonta

1. Hyväksytyt luottamuspalvelun tarjoajat on tarkastettava tunnustetun riippumattoman tahon toimesta kerran vuodessa sen vahvistamiseksi, että ne ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset, ja niiden on toimitettava tarkastuksen perusteella laadittava tietoturvatarkastuskertomus valvontaelimelle.

2. Valvontaelin voi milloin tahansa omasta aloitteestaan tai komission pyynnöstä tehdä hyväksytyille luottamuspalvelun tarjoajille tarkastuksia varmistuakseen siitä, että ne ja niiden tarjoamat hyväksytyt luottamuspalvelut edelleen täyttävät tässä asetuksessa säädetyt ehdot, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Valvontaelimen on ilmoitettava tarkastustensa tuloksista tietosuojaviranomaisille, jos näyttää siltä, että henkilötietojen suojaan liittyviä sääntöjä on rikottu.

3. Valvontaelimellä on oltava valtuudet antaa luottamuspalvelun tarjoajille sitovia määräyksiä korjata tietoturvatarkastuskertomuksesta ilmenevät puutteet vaatimusten noudattamisessa.

4. Jos hyväksytty luottamuspalvelun tarjoaja ei korjaa edellä 3 kohdassa tarkoitettua puutetta valvontaelimen asettamassa määräajassa, se menettää hyväksytyn asemansa ja valvontaelin ilmoittaa sille sen aseman muuttamisesta 18 artiklassa tarkoitetussa luotettavassa luettelossa.

5. Siirretään komissiolle valta antaa delegoituja säädöksiä 38 artiklan mukaisesti niiden ehtojen määrittelemiseksi, joiden mukaisesti tämän artiklan 1 kohdassa, 15 artiklan 1 kohdassa ja 17 artiklan 1 kohdassa tarkoitetun tarkastuksen suorittava riippumaton taho tunnustetaan.

6. Komissio voi täytäntöönpanosäädöksillä määritellä 1, 2 ja 4 kohdan soveltamiseen liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

17 artikla

Hyväksytyn luottamuspalvelun aloittaminen

1. Hyväksyttyjen luottamuspalvelun tarjoajien on ilmoitettava valvontaelimelle aikeestaan aloittaa hyväksytyn luottamuspalvelun tarjonta ja toimitettava 16 artiklan 1 kohdassa säädetyn mukaisesti valvontaelimelle tunnustetun riippumattoman tahon laatima tietoturvatarkastuskertomus. Hyväksytyt luottamuspalvelun tarjoajat voivat aloittaa hyväksytyn luottamuspalvelun tarjonnan toimitettuaan ilmoituksen ja tietoturvatarkastuskertomuksen valvontaelimelle.

2. Kun tarvittavat asiakirjat on toimitettu valvontaelimelle 1 kohdan mukaisesti, hyväksytyt palveluntarjoajat sisällytetään 18 artiklassa tarkoitettuihin luotettaviin luetteloihin, joissa on maininta ilmoituksen toimittamisesta.

3. Valvontaelin tarkastaa, että hyväksytty luottamuspalvelun tarjoaja ja sen tarjoamat hyväksytyt luottamuspalvelut täyttävät asetuksen vaatimukset.

Jos tarkastuksessa päädytään myönteiseen lopputulokseen, valvontaelimen on ilmoitettava hyväksyttyjen palveluntarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen hyväksytystä asemasta luotettavissa luetteloissa viimeistään kuukauden kuluessa 1 kohdan mukaisesta ilmoituksesta.

Jos tarkastusta ei saada päätökseen kuukauden kuluessa, valvontaelimen on ilmoitettava asiasta hyväksytylle luottamuspalvelun tarjoajalle ja yksilöitävä viivästyksen syyt ja ajankohta, johon mennessä tarkastus saadaan päätökseen.

4. Kun hyväksytystä luottamuspalvelusta on tehty 1 kohdassa tarkoitettu ilmoitus, julkisen sektorin elin ei voi kieltäytyä hyväksymästä palvelua hallinnollista menettelyä tai muodollisuutta varten sillä perusteella, että sitä ei ole sisällytetty 3 kohdassa tarkoitettuihin luetteloihin.

5. Komissio voi täytäntöönpanosäädöksillä määritellä 1, 2 ja 3 kohdan soveltamiseen liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

18 artikla

Luotettavat luettelot

1. Kunkin jäsenvaltion on laadittava, ylläpidettävä ja julkaistava luotettavia luetteloja, jotka sisältävät tietoa niiden toimivaltaan kuuluvista hyväksytyistä luottamuspalvelun tarjoajista ja niiden tarjoamista hyväksytyistä luottamuspalveluista.

2. Jäsenvaltioiden on laadittava, ylläpidettävä ja julkaistava suojatusti 1 kohdassa säädetyn mukaisia sähköisesti allekirjoitettuja tai leimattuja luotettavia luetteloja muodossa, joka soveltuu automaattiseen käsittelyyn.

3. Jäsenvaltioiden on ilman aiheetonta viivytystä ilmoitettava komissiolle tiedot kansallisten luotettavien luettelojen laatimisesta, ylläpitämisestä ja julkaisemisesta vastaavasta elimestä sekä yksityiskohtaiset tiedot tällaisten luettelojen julkaisupaikasta, luotettavien luettelojen allekirjoittamisessa tai leimaamisessa käytetyistä varmenteista ja näiden mahdollisista muutoksista.

4. Komissio asettaa julkisesti saataville suojatusti 3 kohdassa tarkoitetut tiedot sähköisesti allekirjoitetussa tai leimatussa muodossa, joka soveltuu automaattiseen käsittelyyn.

5. Siirretään komissiolle valta antaa delegoituja säädöksiä 38 artiklan mukaisesti 1 kohdassa tarkoitettujen tietojen määrittelyä varten.

6. Komissio voi täytäntöönpanosäädöksillä määritellä 1–4 kohdan soveltamiseen liittyvät luotettavien luetteloiden tekniset eritelmät ja muotoseikat. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

19 artikla

Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset

1. Hyväksyttyä varmennetta myöntäessään hyväksytyn luottamuspalvelun tarjoajan on tarkastettava asianmukaisin menetelmin ja kansallisen lainsäädännön mukaisesti sen luonnollisen tai oikeushenkilön henkilöllisyys ja mahdolliset muut määreet, jolle hyväksytty varmenne myönnetään.

Hyväksytyn palvelun tarjoajan tai hyväksytyn palvelun tarjoajan vastuulla toimivan valtuutetun kolmannen osapuolen on tarkastettava tällaiset tiedot:

a)           luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnäollessa tai

b)           etäältä käyttäen a kohdan mukaisesti myönnettyä sähköisen tunnistamisen menetelmää, joka kuuluu ilmoitetun järjestelmän piiriin.

2. Hyväksyttyjä luottamuspalveluja tarjoavien hyväksyttyjen luottamuspalvelun tarjoajien on

a)           palkattava henkilöstöä, jolla on tarvittava asiantuntemus, kokemus ja pätevyys, joka noudattaa eurooppalaisia tai kansainvälisiä standardeja vastaavia hallinnollisia ja johtamismenettelyjä ja joka on saanut tarvittavaa koulutusta tietoturvaa ja henkilötietojen suojaa koskevista säännöistä;

b)           kannettava vahinkovastuuriski ylläpitämällä riittäviä taloudellisia varoja tai käyttämällä sopivaa vastuuvakuutusjärjestelmää;

c)           ilmoitettava ennen sopimussuhteen aloittamista henkilöille, jotka haluavat käyttää hyväksyttyä luottamuspalvelua, kyseisen palvelun käytön tarkoista ehdoista ja edellytyksistä;

d)           käytettävä luotettavia järjestelmiä ja tuotteita, jotka on suojattu muutoksilta ja joilla taataan tuotteiden tukemien prosessien tekninen tietoturva ja luotettavuus;

e)           käytettävä luotettavia järjestelmiä niille annettujen tietojen tallentamiseen tarkastettavissa olevassa muodossa siten, että

– tiedot ovat julkisesti haettavissa vain, jos siihen on saatu tietojen kohteena olevan henkilön suostumus,

– ainoastaan valtuutetut henkilöt voivat syöttää tietoja ja tehdä niihin muutoksia,

– tietojen aitous voidaan tarkastaa;

f)            toteutettava toimenpiteitä tietojen väärentämisen ja varastamisen estämiseksi;

g)           arkistoitava asianmukaisen ajan kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista, erityisesti käytettäväksi todisteena oikeudellisissa käsittelyissä. Tällaisia arkistoja voidaan ylläpitää sähköisessä muodossa;

h)           ylläpidettävä ajantasaista toiminnan lopettamissuunnitelmaa, jotta voidaan varmistaa palvelun jatkuvuus valvontaelimen 13 artiklan 2 kohdan c alakohdan nojalla vahvistamien järjestelyjen mukaisesti;

i)            varmistettava, että henkilötietoja käsitellään lainmukaisesti 11 artiklaa noudattaen.

3. Hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien on rekisteröitävä varmenteen peruuttaminen varmennetietokannassaan 10 minuutin kuluessa peruutuksen voimaantulosta.

4. Hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien on 3 kohtaan liittyen annettava kaikille niihin tukeutuville tahoille tietoa niiden myöntämien hyväksyttyjen varmenteiden voimassaolo- tai peruutustilasta. Tämä tieto on asetettava saataville jatkuvasti ainakin varmennekohtaisesti automaattisella tavalla, joka on luotettava, maksuton ja tehokas.

5. Komissio voi täytäntöönpanosäädöksin vahvistaa sovellettavien luotettavia järjestelmiä ja tuotteita koskevien standardien viitenumerot. Jos järjestelmä tai tuote vastaa näitä standardeja, sen katsotaan olevan 19 artiklassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

3 jakso

Sähköinen allekirjoitus

20 artikla

Sähköisten allekirjoitusten oikeusvaikutukset ja hyväksyminen

1. Sähköisen allekirjoituksen oikeusvaikutuksia ja käytettävyyttä todisteena oikeudellisissa menettelyissä ei voida kieltää pelkästään sillä perusteella, että se on sähköisessä muodossa.

2. Hyväksytyllä sähköisellä allekirjoituksella on oltava samanlaiset oikeusvaikutukset kuin käsin kirjoitetulla allekirjoituksella.

3. Hyväksytyt sähköiset allekirjoitukset on tunnustettava ja hyväksyttävä kaikissa jäsenvaltioissa.

4. Jos erityisesti jäsenvaltio edellyttää julkisen sektorin elimen tarjoaman verkkopalvelun käyttöä varten kyseiseen palveluun liittyvien riskien asianmukaisen arvioinnin perusteella tietoturvavarmistukseltaan hyväksyttyjä sähköisiä allekirjoituksia alhaisemman tason allekirjoitusta, on palvelun käyttöä varten tunnustettava ja hyväksyttävä kaikki sähköiset allekirjoitukset, joiden tietoturvavarmistustaso on vähintään sama.

5. Jäsenvaltiot eivät saa vaatia julkisen sektorin elimen tarjoaman verkkopalvelun käytössä rajojen yli sähköistä allekirjoitusta, jonka tietoturvavarmistustaso on korkeampi kuin hyväksytyn sähköisen allekirjoituksen.

6. Siirretään komissiolle valta antaa 38 artiklan mukaisesti delegoituja säädöksiä, jotka koskevat 4 kohdassa tarkoitettuja sähköisten allekirjoitusten erilaisia tietoturvatasoja.

7. Komissio voi täytäntöönpanosäädöksin vahvistaa sähköisten allekirjoitusten tietoturvatasoihin sovellettavien standardien viitenumerot. Jos sähköinen allekirjoitus vastaa kyseisiä standardeja, sen katsotaan olevan 6 kohdan nojalla annetussa delegoidussa säädöksessä määritellyn tietoturvatason mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

21 artikla

Sähköisen allekirjoituksen hyväksytyt varmenteet

1. Sähköisen allekirjoituksen hyväksyttyjen varmenteiden on täytettävä liitteessä I säädetyt vaatimukset.

2. Sähköisen allekirjoituksen hyväksytyille varmenteille ei saa asettaa pakollisia vaatimuksia, jotka ylittävät liitteessä I säädetyt vaatimukset.

3. Jos sähköisen allekirjoituksen hyväksytty varmenne on ensimmäisen aktivoinnin jälkeen peruutettu, sen voimassaolo päättyy, eikä sen tilaa voida missään olosuhteissa palauttaa uusimalla sen voimassaolo.

4. Siirretään komissiolle valta antaa delegoituja säädöksiä 38 artiklan mukaisesti liitteessä I säädettyjen vaatimusten tarkentamiseksi.

5. Komissio voi täytäntöönpanosäädöksin vahvistaa sähköisen allekirjoituksen hyväksyttyihin varmenteisiin sovellettavien standardien viitenumerot. Jos sähköisen allekirjoituksen hyväksytty varmenne vastaa kyseisiä standardeja, sen katsotaan olevan liitteessä I säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

22 artikla

Hyväksyttyjä sähköisen allekirjoituksen luontivälineitä koskevat vaatimukset

1. Hyväksyttyjen sähköisen allekirjoituksen luontivälineiden on täytettävä liitteessä II säädetyt vaatimukset.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa hyväksyttyihin sähköisen allekirjoituksen luontivälineisiin sovellettavien standardien viitenumerot. Jos hyväksytty sähköisen allekirjoituksen luontiväline vastaa kyseisiä standardeja, sen katsotaan olevan liitteessä II säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

23 artikla

Hyväksyttyjen sähköisen allekirjoituksen luontivälineiden sertifiointi

1. Hyväksytyt sähköisen allekirjoituksen luontivälineet voidaan sertifioida jäsenvaltioiden nimeämien asianmukaisten julkisten tai yksityisten tahojen toimesta edellyttäen, että niille on tehty tietoturva-arviointi noudattaen komission täytäntöönpanosäädöksin vahvistamaan luetteloon sisältyvää tietoteknisten tuotteiden tietoturva-arviointia koskevaa standardia. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

2. Jäsenvaltioiden on ilmoitettava komissiolle ja muille jäsenvaltioille nimeämänsä 1 kohdassa tarkoitetun julkisen tai yksityisen tahon nimi ja osoite.

3. Siirretään komissiolle valta antaa 38 artiklan mukaisesti delegoituja säädöksiä, jotka koskevat 1 kohdassa tarkoitetuille nimetyille tahoille asetettavia erityisvaatimuksia.

24 artikla

Sertifioitujen hyväksyttyjen sähköisen allekirjoituksen luontivälineiden luettelon julkaiseminen

1. Jäsenvaltioiden on ilman aiheetonta viivytystä ilmoitettava komissiolle tiedot 23 artiklassa tarkoitettujen tahojen sertifioimista hyväksytyistä sähköisen allekirjoituksen luontivälineistä. Niiden on ilman aiheetonta viivytystä ilmoitettava komissiolle myös tiedot sähköisen allekirjoituksen luontivälineistä, joita ei enää sertifioida.

2. Saamiensa tietojen perusteella komissio laatii ja julkaisee luettelon sertifioiduista hyväksytyistä sähköisen allekirjoituksen luontivälineistä sekä ylläpitää sitä.

3. Komissio voi täytäntöönpanosäädöksillä määritellä 1 kohdan soveltamiseen liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

25 artikla

Hyväksyttyjen sähköisten allekirjoitusten validointia koskevat vaatimukset

1. Hyväksytty sähköinen allekirjoitus on katsottava päteväksi, jos voidaan korkealla varmuustasolla todeta, että allekirjoitushetkellä:

a)           allekirjoitusta tukeva varmenne on liitteen I mukainen hyväksytty sähköisen allekirjoituksen varmenne;

b)           vaadittava hyväksytty varmenne on aito ja pätevä;

c)           allekirjoituksen validointitiedot vastaavat allekirjoitukseen tukeutuvalle osapuolelle annettuja tietoja;

d)           allekirjoittajaa yksiselitteisesti edustava tietokokonaisuus on annettu oikein allekirjoitukseen tukeutuvalle osapuolelle;

e)           jos käytetään salanimeä, sen käytöstä on selkeästi ilmoitettu allekirjoitukseen tukeutuvalle osapuolelle;

f)            sähköinen allekirjoitus on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä;

g)           allekirjoitettujen tietojen koskemattomuutta ei ole loukattu;

h)           3 artiklan 7 kohdassa säädetyt vaatimukset täyttyvät;

i)            allekirjoituksen validointiin käytettävä järjestelmä antaa allekirjoitukseen tukeutuvalle osapuolelle validointiprosessissa oikean tuloksen ja antaa allekirjoitukseen tukeutuvalle osapuolelle mahdollisuuden huomata mahdolliset tietoturvaan vaikuttavat poikkeamat.

2. Siirretään komissiolle valta antaa delegoituja säädöksiä 38 artiklan mukaisesti 1 kohdassa säädettyjen vaatimusten tarkentamiseksi.

3. Komissio voi täytäntöönpanosäädöksin vahvistaa hyväksyttyjen sähköisten allekirjoitusten validointiin sovellettavien standardien viitenumerot. Jos hyväksyttyjen sähköisten allekirjoitusten validointi vastaa kyseisiä standardeja, sen katsotaan olevan 1 kohdassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

26 artikla

Hyväksyttyjen sähköisten allekirjoitusten hyväksytty validointipalvelu

1. Hyväksyttyjen sähköisten allekirjoitusten hyväksyttyä validointipalvelua tarjoaa hyväksytty luottamuspalvelun tarjoaja, joka:

a)           tarjoaa validointia 25 artiklan 1 kohdan mukaisesti ja

b)           tarjoaa allekirjoitukseen tukeutuville osapuolille validointiprosessin tuloksen automaattisesti tavalla, joka on luotettava, tehokas ja sisältää hyväksytyn validointipalvelun tarjoajan kehittyneen sähköisen allekirjoituksen tai kehittyneen sähköisen leiman.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa 1 kohdassa tarkoitettuun hyväksyttyyn validointipalveluun sovellettavien standardien viitenumerot. Jos hyväksyttyjen sähköisten allekirjoitusten validointipalvelu vastaa kyseisiä standardeja, sen katsotaan olevan 1 kohdan b alakohdassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

27 artikla

Hyväksyttyjen sähköisten allekirjoitusten säilyttäminen

1. Hyväksyttyjen sähköisten allekirjoitusten säilyttämispalvelua tarjoaa hyväksytty luottamuspalvelujen tarjoaja, jonka käyttämät menettelyt ja teknologiat ovat sellaisia, että niillä voidaan jatkaa hyväksyttyjen sähköisten allekirjoitusten validointitietojen luotettavuutta senkin jälkeen, kun niiden teknologinen voimassaolo on päättynyt.

2. Siirretään komissiolle valta antaa delegoituja säädöksiä 38 artiklan mukaisesti 1 kohdassa säädettyjen vaatimusten tarkentamiseksi.

3. Komissio voi täytäntöönpanosäädöksin vahvistaa hyväksyttyjen sähköisten allekirjoitusten säilyttämiseen sovellettavien standardien viitenumerot. Jos hyväksyttyjen sähköisten allekirjoitusten säilyttämisjärjestelyt vastaavat kyseisiä standardeja, niiden katsotaan olevan 1 kohdassa säädettyjen vaatimusten mukaisia. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

4 jakso

Sähköiset leimat

28 artikla

Sähköisen leiman oikeusvaikutukset

1. Sähköisen leiman oikeusvaikutuksia ja käytettävyyttä todisteena oikeudellisissa menettelyissä ei voida kieltää pelkästään sen takia, että se on sähköisessä muodossa.

2. Hyväksyttyyn sähköiseen leimaan liitetään oikeusolettama, jonka mukaan leima takaa siihen yhteydessä olevien tietojen alkuperän ja koskemattomuuden.

3. Hyväksytty sähköinen allekirjoitus on tunnustettava ja hyväksyttävä kaikissa jäsenvaltioissa.

4. Jos erityisesti jäsenvaltio edellyttää julkisen sektorin elimen tarjoaman verkkopalvelun käyttöä varten kyseiseen palveluun liittyvien riskien asianmukaisen arvioinnin perusteella tietoturvavarmistukseltaan hyväksyttyjä sähköisiä leimoja alhaisemman tason leimaa, on palvelun käyttöä varten hyväksyttävä kaikki sähköiset leimat, joiden tietoturvavarmistustaso on vähintään sama.

5. Jäsenvaltiot eivät saa vaatia julkisen sektorin elimen tarjoaman verkkopalvelun käytössä sähköistä leimaa, jonka tietoturvavarmistustaso on korkeampi kuin hyväksytyn sähköisen leiman.

6. Siirretään komissiolle valta antaa 38 artiklan mukaisesti delegoituja säädöksiä, jotka koskevat 4 kohdassa tarkoitettuja sähköisten leimojen erilaisia tietoturvavarmistustasoja.

7. Komissio voi täytäntöönpanosäädöksin vahvistaa sähköisten leimojen tietoturvavarmistustasoihin sovellettavien standardien viitenumerot. Jos sähköinen leima vastaa kyseisiä standardeja, sen katsotaan olevan 6 kohdan nojalla annetussa delegoidussa säädöksessä määritellyn tietoturvavarmistustason mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

29 artikla

Sähköisen leiman hyväksyttyjä varmenteita koskevat vaatimukset

1. Sähköisen leiman hyväksyttyjen varmenteiden on täytettävä liitteessä III säädetyt vaatimukset.

2. Sähköisen leiman hyväksytyille varmenteille ei saa asettaa pakollisia vaatimuksia, jotka ylittävät liitteessä III säädetyt vaatimukset.

3. Jos sähköisen leiman hyväksytty varmenne on ensimmäisen aktivoinnin jälkeen peruutettu, sen voimassaolo päättyy, eikä sen tilaa voida missään olosuhteissa palauttaa uusimalla sen voimassaolo.

4. Siirretään komissiolle valta antaa delegoituja säädöksiä 38 artiklan mukaisesti liitteessä III säädettyjen vaatimusten tarkentamiseksi.

5. Komissio voi täytäntöönpanosäädöksin vahvistaa sähköisen leiman hyväksyttyihin varmenteisiin sovellettavien standardien viitenumerot. Jos sähköisen leiman hyväksytty varmenne vastaa kyseisiä standardeja, sen katsotaan olevan liitteessä III säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

30 artikla

Hyväksytyt sähköisen leiman luontivälineet

1. Hyväksytyille sähköisen leiman luontivälineineille asetettavien vaatimusten osalta sovelletaan tarpeellisin muutoksin 22 artiklaa.

2. Hyväksyttyjen sähköisen leiman luontivälineiden sertifioinnin osalta sovelletaan tarpeellisin muutoksin 23 artiklaa.

3. Sertifioitujen hyväksyttyjen sähköisen leiman luontivälineiden luettelon julkaisemisen osalta sovelletaan tarpeellisin muutoksin 24 artiklaa.

31 artikla

Hyväksyttyjen sähköisten leimojen validointi ja säilyttäminen

Hyväksyttyjen sähköisten leimojen validointiin ja säilyttämiseen sovelletaan tarvittavin muutoksin 25, 26 ja 27 artiklaa.

5 jakso

Sähköinen aikaleima

32 artikla

Sähköisten aikaleimojen oikeusvaikutukset

1. Sähköisen aikaleiman oikeusvaikutuksia ja hyväksyttävyyttä todisteena oikeudellisissa menettelyissä ei voida kieltää pelkästään sen takia, että se on sähköisessä muodossa.

2. Hyväksyttyyn sähköiseen aikaleimaan liitetään oikeusolettama, jonka mukaan aikaleima takaa osoittamansa ajankohdan sekä ajankohtaan sidottujen tietojen koskemattomuuden.

3. Hyväksytty sähköinen aikaleima on tunnustettava ja hyväksyttävä kaikissa jäsenvaltioissa.

33 artikla

Hyväksyttyjä sähköisiä aikaleimoja koskevat vaatimukset

1. Hyväksytyn sähköisen aikaleiman on täytettävä seuraavat vaatimukset:

a)           se on virheettömästi liitetty koordinoituun yleisaikaan (UTC) niin, että voidaan sulkea pois mahdollisuus, että tietoja olisi muutettu huomaamatta;

b)           se perustuu virheettömään aikalähteeseen;

c)           sen on myöntänyt hyväksytty luottamuspalvelujen tarjoaja;

d)           se on allekirjoitettu hyväksytyn luottamuspalvelujen tarjoajan kehittyneellä sähköisellä allekirjoituksella tai kehittyneellä sähköisellä leimalla tai vastaavalla menetelmällä.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa ajan virheetöntä liittämistä tietoihin ja virheettömään aikalähteeseen sovellettavien standardien viitenumerot. Jos ajan virheetön liittäminen tietoihin ja virheetön aikalähde vastaa kyseisiä standardeja, sen katsotaan olevan 1 kohdassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

6 jakso

Sähköiset asiakirjat

34 artikla

Sähköisten asiakirjojen oikeusvaikutukset ja hyväksyminen

1. Sähköistä asiakirjaa on pidettävä paperiasiakirjaa vastaavana ja se on hyväksyttävä todisteeksi oikeudellisissa menettelyissä, kun on otettu huomioon sen aitouden ja koskemattomuuden varmuustaso.

2. Asiakirjaan, jossa on sen myöntämiseen valtuutetun henkilön hyväksytty sähköinen allekirjoitus tai hyväksytty sähköinen leima, liitetään oikeusolettama, jonka mukaan se on aito ja koskematon edellyttäen, että asiakirja ei sisällä dynaamisia piirteitä, jotka voisivat automaattisesti muuttaa sitä.

3. Kun julkisen sektorin elimen verkkopalvelun tarjontaa varten vaaditaan alkuperäistä asiakirjaa tai sen oikeaksi todistettua jäljennöstä, muiden jäsenvaltioiden on ilman lisävaatimuksia hyväksyttävä vähintään sellaiset sähköiset asiakirjat, jotka on myöntänyt kyseisten asiakirjojen myöntämiseen valtuutettu henkilö ja jotka katsotaan alkuperäjäsenvaltion lainsäädännössä alkuperäiskappaleiksi tai oikeaksi todistetuiksi jäljennöksiksi.

4. Komissio voi täytäntöönpanosäädöksillä määritellä niiden sähköisten allekirjoitusten ja leimojen muotoseikat, jotka on hyväksyttävä, kun jäsenvaltio pyytää 2 kohdassa tarkoitetun julkisen elimen verkkopalvelun tarjontaa varten allekirjoitettua tai leimattua asiakirjaa. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

7 jakso

Hyväksytty sähköinen jakelupalvelu

35 artikla

Sähköisen jakelupalvelun oikeusvaikutukset

1. Sähköistä jakelupalvelua käyttäen lähetetyt tai vastaanotetut tiedot on hyväksyttävä todisteeksi oikeudellisissa menettelyissä tietojen koskemattomuuden sekä sen päivämäärän ja kellonajan varmuuden suhteen, jona tiedot on lähetetty tietylle vastaanottajalle tai vastaanottaja on ne saanut.

2. Hyväksyttyä jakelupalvelua käyttäen lähetettyihin tai vastaanotettuihin tietoihin liitetään oikeusolettama, jonka mukaan tiedot ovat koskemattomia ja hyväksytyn sähköisen jakelujärjestelmän ilmoittama lähetys- ja vastaanottopäivämäärä ja -kellonaika on oikea.

3. Siirretään komissiolle valta antaa 38 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään sähköisissä jakelupalveluissa tapahtuvaa tietojen lähettämistä tai vastaanottamista koskevat mekanismit, joita on käytettävä sähköisten jakelupalvelujen yhteentoimivuuden edistämiseksi.

36 artikla

Hyväksyttyjä sähköisiä jakelupalveluja koskevat vaatimukset

1. Hyväksyttyjen sähköisten jakelupalvelujen on täytettävä seuraavat vaatimukset:

a)           niitä tarjoaa yksi tai useampi hyväksytty luottamuspalvelujen tarjoaja;

b)           ne mahdollistavat lähettäjän ja tarvittaessa vastaanottajan yksiselitteisen tunnistamisen;

c)           tietojen lähettämis- tai vastaanottamisprosessi on suojattu hyväksytyn luottamuspalvelujen tarjoajan kehittyneellä sähköisellä allekirjoituksella tai kehittyneellä sähköisellä leimalla niin, että voidaan sulkea pois mahdollisuus, että tietoja olisi muutettu huomaamatta;

d)           kaikki muutokset tietojen lähettämisessä tai vastaanottamisessa tarvittavissa tiedoissa ilmoitetaan selkeästi tietojen lähettäjälle ja vastaanottajalle;

e)           tietojen lähettämisen, vastaanottamisen ja muuttamisen päivämäärä ilmoitetaan hyväksytyllä sähköisellä aikaleimalla;

f)            kun tietoja siirretään kahden tai useamman hyväksytyn luottamuspalvelujen tarjoajan välillä, a–e alakohdan vaatimuksia sovelletaan kaikkiin näihin palveluntarjoajiin.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa tietojen lähettämis- ja vastaanottamisprosesseihin sovellettavien standardien viitenumerot. Jos tietojen lähettämis- ja vastaanottamisprosessi vastaa kyseisiä standardeja, sen katsotaan olevan 1 kohdassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

8 jakso

Verkkosivustojen todentaminen

37 artikla

Verkkosivustojen todentamisen hyväksyttyjä varmenteita koskevat vaatimukset

1. Verkkosivustojen todentamisen hyväksyttyjen varmenteiden on täytettävä liitteessä IV säädetyt vaatimukset.

2. Verkkosivustojen todentamisen hyväksytyt varmenteet on tunnustettava ja hyväksyttävä kaikissa jäsenvaltioissa.

3. Siirretään komissiolle valta antaa delegoituja säädöksiä 38 artiklan mukaisesti liitteessä IV säädettyjen vaatimusten tarkentamiseksi.

4. Komissio voi täytäntöönpanosäädöksin vahvistaa verkkosivustojen todentamisen hyväksyttyihin varmenteisiin sovellettavien standardien viitenumerot. Jos verkkosivustojen todentamisen hyväksytty varmenne vastaa kyseisiä standardeja, sen katsotaan olevan liitteessä IV säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio julkaisee säädökset Euroopan unionin virallisessa lehdessä.

IV LUKU

DELEGOIDUT SÄÄDÖKSET

38 artikla

Siirretyn säädösvallan käyttäminen

1. Siirretään komissiolle valta antaa delegoituja säädöksiä tässä artiklassa säädetyin edellytyksin.

2. Siirretään komissiolle määräämättömäksi ajaksi tämän asetuksen voimaantulosta lukien valta antaa 8 artiklan 3 kohdassa, 13 artiklan 5 kohdassa, 15 artiklan 5 kohdassa, 16 artiklan 5 kohdassa, 18 artiklan 5 kohdassa, 20 artiklan 6 kohdassa, 21 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 25 artiklan 2 kohdassa, 27 artiklan 2 kohdassa, 28 artiklan 6 kohdassa, 29 artiklan 4 kohdassa, 30 artiklan 2 kohdassa, 31 artiklassa, 35 artiklan 3 kohdassa ja 37 artiklan 3 kohdassa tarkoitettuja delegoituja säädöksiä.

3. Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 8 artiklan 3 kohdassa, 13 artiklan 5 kohdassa, 15 artiklan 5 kohdassa, 16 artiklan 5 kohdassa, 18 artiklan 5 kohdassa, 20 artiklan 6 kohdassa, 21 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 25 artiklan 2 kohdassa, 27 artiklan 2 kohdassa, 28 artiklan 6 kohdassa, 29 artiklan 4 kohdassa, 30 artiklan 2 kohdassa, 31 artiklassa, 35 artiklan 3 kohdassa ja 37 artiklan 3 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan päätöksessä mainittu säädösvallan siirto. Päätös tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, päätöksessä mainittuna päivänä. Päätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4. Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

5. Edellä olevien 8 artiklan 3 kohdan, 13 artiklan 5 kohdan, 15 artiklan 5 kohdan, 16 artiklan 5 kohdan, 18 artiklan 5 kohdan, 20 artiklan 6 kohdan, 21 artiklan 4 kohdan, 23 artiklan 3 kohdan, 25 artiklan 2 kohdan, 27 artiklan 2 kohdan, 28 artiklan 6 kohdan, 29 artiklan 4 kohdan, 30 artiklan 2 kohdan, 31 artiklan, 35 artiklan 3 kohdan ja 37 artiklan 3 kohdan mukaisesti annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, etteivät ne vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella.

V LUKU

TÄYTÄNTÖÖNPANOSÄÄDÖKSET

39 artikla

Komiteamenettely

1. Komissiota avustaa komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

VI LUKU

LOPPUSÄÄNNÖKSET

40 artikla

Kertomus

Komissio antaa Euroopan parlamentille ja neuvostolle kertomuksia tämän asetuksen soveltamisesta. Ensimmäinen kertomus annetaan viimeistään neljän vuoden kuluttua tämän asetuksen voimaantulosta. Sen jälkeen kertomukset annetaan neljän vuoden välein.

41 artikla

Kumoaminen

1. Kumotaan direktiivi 1999/93/EY.

2. Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen.

3. Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritelty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä allekirjoituksen luontivälineinä.

4. Direktiivin 1999/93/EY mukaisesti myönnettyjä hyväksyttyjä varmenteita pidetään tämän asetuksen mukaisina sähköisten allekirjoitusten hyväksyttyinä varmenteina niiden voimassaolon päättymiseen saakka, mutta enintään viisi vuotta tämän asetuksen voimaantulosta.

42 artikla

Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä

Euroopan parlamentin puolesta                    Neuvoston puolesta

Puhemies                                                       Puheenjohtaja

LIITE I

Sähköisten allekirjoitusten hyväksyttyjä varmenteita koskevat vaatimukset

Sähköisten allekirjoitusten hyväksyttyjen varmenteiden on sisällettävä:

a)           tieto, ainakin automaattiseen käsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen allekirjoituksen hyväksyttynä varmenteena;

b)           tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyt varmenteet myöntävää hyväksyttyä luottamuspalvelujen tarjoajaa ja joka sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut ja

– oikeushenkilön osalta: nimen ja rekisterinumeron virallisissa rekistereissä olevassa muodossa,

– luonnollisen henkilön osalta: henkilön nimen;

c)           tietokokonaisuus, joka yksiselitteisesti edustaa allekirjoittajaa, jolle varmenne on myönnetty, ja joka sisältää ainakin allekirjoittajan nimen tai salanimen, joka on esitettävä salanimenä;

d)           sähköisen allekirjoituksen validointitiedot, jotka vastaavat sen luontitietoja;

e)           tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

f)            varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelujen tarjoajan osalta yksilöivä;

g)           myöntävän hyväksytyn luottamuspalvelujen tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

h)           sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

i)            niiden varmenteen voimassaolotilaan liittyvien palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan;

j)            jos sähköisen allekirjoituksen validointitietoihin liittyvät sähköisen allekirjoituksen luontitiedot sijaitsevat hyväksytyssä sähköisten allekirjoitusten luontivälineessä, tieto tästä ainakin automaattiseen käsittelyyn soveltuvassa muodossa.

LIITE II

Hyväksyttyjä allekirjoituksen luontivälineitä koskevat vaatimukset

1. Hyväksytyillä sähköisen allekirjoituksen luontivälineillä on tarkoituksenmukaista tekniikkaa ja menettelytapoja käyttäen varmistettava ainakin, että

a)           sähköisen allekirjoituksen muodostamisessa käytettävien sähköisen allekirjoituksen luontitietojen pysyminen salassa taataan;

b)           sähköisen allekirjoituksen muodostamisessa käytettävät sähköisen allekirjoituksen luontitiedot voivat ilmetä vain kerran;

c)           sähköisen allekirjoituksen luontitiedot eivät kohtuullisella varmuudella ole pääteltävissä ja sähköinen allekirjoitus on suojattu väärentämiseltä kulloinkin saatavilla olevan teknologian mukaisesti;

d)           laillinen allekirjoittaja voi luotettavasti suojata sähköisen allekirjoituksen muodostamisessa käytettävät sähköisen allekirjoituksen luontitiedot muiden käytöltä.

2. Hyväksytyt sähköisen allekirjoituksen luontivälineet eivät saa muuttaa allekirjoitettavia tietoja eivätkä estää niiden esittämistä allekirjoittajalle ennen allekirjoittamista.

3. Allekirjoittajan puolesta tapahtuvasta sähköisen allekirjoituksen luontitietojen muodostamisesta ja hallinnoinnista vastaa hyväksytty luottamuspalvelujen tarjoaja.

4. Allekirjoittajan puolesta sähköisen allekirjoituksen luontitietoja hallinnoivat hyväksytyt luottamuspalvelujen tarjoajat voivat kahdentaa sähköisen allekirjoituksen luontitietoja varmuuskopiointitarkoituksiin edellyttäen, että seuraavat vaatimukset täyttyvät:

a)           kahdennettujen tietokokonaisuuksien tietoturvan on oltava samalla tasolla kuin alkuperäisten tietokokonaisuuksien;

b)           kahdennettujen tietokokonaisuuksien määrä ei saa ylittää vähimmäismäärää, joka on tarpeen palvelun jatkuvuuden varmistamiseksi.

LIITE III

Sähköisten leimojen hyväksyttyjä varmenteita koskevat vaatimukset

Sähköisten leimojen hyväksyttyjen varmenteiden on sisällettävä:

a)           tieto, ainakin automaattiseen käsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen leiman hyväksyttynä varmenteena;

b)           tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyt varmenteet myöntävää hyväksyttyä luottamuspalvelujen tarjoajaa ja joka sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut ja

– oikeushenkilön osalta: nimen ja rekisterinumeron virallisissa rekistereissä olevassa muodossa,

– luonnollisen henkilön osalta: henkilön nimen;

c)           tietokokonaisuus, joka yksiselitteisesti edustaa oikeushenkilöä, jolle varmenne on myönnetty, ja joka sisältää ainakin nimen tai rekisterinumeron virallisissa rekistereissä olevassa muodossa;

d)           sähköisen leiman validointitiedot, jotka vastaavat kyseisen sähköisen leiman luontitietoja;

e)           tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

f)            varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelujen tarjoajan osalta yksilöivä;

g)           myöntävän hyväksytyn luottamuspalvelujen tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

h)           sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

i)            niiden varmenteen voimassaolotilaan liittyvien palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan;

j)            jos sähköisen leiman validointitietoihin liittyvät sähköisen leiman luontitiedot sijaitsevat hyväksytyssä sähköisten leimojen luontivälineessä, tieto tästä ainakin automaattiseen käsittelyyn soveltuvassa muodossa.

LIITE IV

Verkkosivustojen todentamisen hyväksyttyjä varmenteita koskevat vaatimukset

Verkkosivustojen todentamisen hyväksyttyjen varmenteiden on sisällettävä:

a)           tieto, ainakin automaattiseen käsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty verkkosivustojen todentamisen hyväksyttynä varmenteena;

b)           tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyt varmenteet myöntävää hyväksyttyä luottamuspalvelujen tarjoajaa ja joka sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut ja

– oikeushenkilön osalta: nimen ja rekisterinumeron virallisissa rekistereissä olevassa muodossa,

– luonnollisen henkilön osalta: henkilön nimen;

c)           tietokokonaisuus, joka yksiselitteisesti edustaa oikeushenkilöä, jolle varmenne on myönnetty, ja joka sisältää ainakin nimen ja rekisterinumeron virallisissa rekistereissä olevassa muodossa;

d)           oikeushenkilön, jolle varmenne on myönnetty, osoitteen osatiedot, mukaan luettuina ainakin kaupunki ja jäsenvaltio, virallisissa rekistereissä olevassa muodossa;

e)           oikeushenkilön, jolle varmenne on myönnetty, käyttämät verkon aluetunnukset;

f)            tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

g)           varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelujen tarjoajan osalta yksilöivä;

h)           myöntävän hyväksytyn luottamuspalvelujen tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

i)            sijainti, josta h kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

j)            niiden varmenteen voimassaolotilaan liittyvien palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan.

SÄÄDÖKSEEN LIITTYVÄ RAHOITUSSELVITYS

1.           PERUSTIEDOT EHDOTUKSESTA/ALOITTEESTA

Tässä rahoitusselvityksessä esitetään yksityiskohtaiset tiedot hallinnollisista kustannuksista, joita liittyy sähköistä tunnistamista ja sähköisiin transaktioihin liittyviä luottamuspalveluja sisämarkkinoilla koskevan ehdotetun asetuksen täytäntöönpanoon.

Kun ehdotettua asetusta koskeva lainsäädäntömenettely ja sen antamista Euroopan parlamentin ja neuvoston toimesta koskevat keskustelut on saatu päätökseen, komissio tarvitsee 12 kokoaikaista työntekijää asetukseen liittyvien delegoitujen ja täytäntöönpanosäädösten laatimiseen, organisatoristen ja teknisten standardien saatavuuden varmistamiseen, jäsenvaltioiden ilmoittamien tietojen käsittelemiseen ja erityisesti luotettaviin luetteloihin liittyvien tietojen ylläpitämiseen, sen varmistamiseen, että sidosryhmät, erityisesti kansalaiset ja pk-yritykset, ovat tietoisia sähköisen tunnistamisen ja todentamisen, sähköisten allekirjoitusten sekä niihin liittyvien luottamuspalvelujen (electronic identification, authentication, signature and related trust services, eIAS) käytön eduista sekä osallistumaan keskusteluihin kolmansien maiden kanssa eIAS-alan yhteentoimivuuden saavuttamiseksi globaalilla tasolla.

1.1.        Ehdotuksen/aloitteen nimi

Komission ehdotus asetukseksi sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla

1.2.        Toimintalohko(t) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä (ABM/ABB)[25]

09 TIETOYHTEISKUNTA

1.3.        Ehdotuksen/aloitteen luonne

¨ Ehdotus/aloite liittyy uuteen toimeen.

¨ Ehdotus/aloite liittyy uuteen toimeen, joka perustuu pilottihankkeeseen tai valmistelutoimeen[26].

¨ Ehdotus/aloite liittyy käynnissä olevan toimen jatkamiseen.

þ Ehdotus/aloite liittyy toimeen, joka on suunnattu uudelleen.

1.4.        Tavoitteet

1.4.1.     Komission monivuotinen strateginen tavoite (monivuotiset strategiset tavoitteet), jonka (joiden) saavuttamista ehdotus/aloite tukee

Ehdotuksen yleiset tavoitteet ovat samat kuin yleisillä EU-politiikoilla, esimerkiksi EU 2020 -strategialla, joiden alaan ehdotus sijoittuu. EU 2020 -strategialla pyritään varmistamaan, että EU:sta tehdään ”älykäs, kestävä ja osallistava talous, jossa työllisyys, tuottavuus ja sosiaalinen yhteenkuuluvuus ovat korkealla tasolla”.

1.4.2.     Erityistavoite (erityistavoitteet) sekä toiminto (toiminnot) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä

Yleiseurooppalaisia sähköisiä transaktioita kohtaan tunnetun luottamuksen lisääminen, sähköisen tunnistamisen ja todentamisen, sähköisten allekirjoitusten sekä niihin liittyvien luottamuspalvelujen rajatylittävän tunnustamisen varmistaminen sekä tietosuojan korkea taso ja käyttäjien valtaistaminen sisämarkkinoilla (ks. Euroopan digitaalistrategia, avaintoiminnot 3 ja 16).

Toiminto (toiminnot) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä

09 02 – Euroopan digitaalistrategian sääntelypuitteet

1.4.3.     Odotettavissa olevat tulokset ja vaikutukset

Selvitys siitä, miten ehdotuksella/aloitteella on tarkoitus vaikuttaa edunsaajien/kohderyhmän tilanteeseen

Luodaan eIAS-palveluille selkeä sääntely-ympäristö, joka helpottaa käyttäjien tilannetta sekä lisää digitaalimaailmaan liittyvää luottamusta ja uskottavuutta.

1.4.4.     Tulos- ja vaikutusindikaattorit

Selvitys siitä, millaisin indikaattorein ehdotuksen/aloitteen toteuttamista seurataan

1. Sellaisten eIAS-palveluntarjoajien olemassaolo, joilla on toimintaa useassa EU:n jäsenvaltiossa.

2. Se, missä määrin laitteista (esim. älykortinlukijoista) tulee yhteentoimivia eri alojen ja maiden välillä.

3. eIAS-palvelujen käyttö kaikissa väestöryhmissä.

4. Se, missä määrin loppukäyttäjät käyttävät eIAS-palveluja kansallisissa transaktioissa ja kansainvälisissä (rajat ylittävissä) transaktioissa.

5. Jäsenvaltioiden eIAS-lainsäädännön yhdenmukaisuusaste.

6. Komissiolle ilmoitetut sähköisen tunnistamisen järjestelmät.

7. Ilmoitetuilla sähköisen tunnistamisen menetelmillä käytettävät palvelut julkisella sektorilla (esim. sähköinen hallinto, sähköinen terveydenhuolto, sähköinen oikeudenkäyttö, sähköiset hankinnat).

8. Ilmoitetuilla sähköisen tunnistamisen menetelmillä käytettävät palvelut yksityisellä sektorilla (esim. verkkopankkitoiminta, sähköinen kaupankäynti, sähköiset rahapelit, verkkosivustoille kirjautuminen, turvallisempaan internetiin liittyvät palvelut).

1.5.        Ehdotuksen/aloitteen perustelut

1.5.1.     Tarpeet, joihin ehdotuksella/aloitteella vastataan lyhyellä tai pitkällä aikavälillä

Eroavaisuudet sähköisistä allekirjoituksista annetun direktiivin kansallisessa täytäntöönpanossa, jotka johtuvat sen erilaisista tulkinnoista, johtavat ongelmiin rajat ylittävässä yhteentoimivuudessa ja tätä kautta EU:ssa hajanaiseen toimintaympäristöön ja vääristymiin sisämarkkinoilla. Lisäksi sähköisiin järjestelmiin liittyvässä luottamuksessa ja uskottavuudessa on puutteita, joiden vuoksi Euroopan kansalaiset eivät pääse hyötymään digitaalimaailmassa samankaltaisista palveluista kuin fyysisen maailman puolella.

1.5.2.     EU:n osallistumisesta saatava lisäarvo

EU-tason toimilla olisi selkeitä etuja verrattuna jäsenvaltioiden tasolla toteutettaviin toimiin. Kokemukset ovat osoittaneet, että kansalliset toimenpiteet eivät ole pelkästään riittämättömiä mahdollistamaan sähköiset transaktiot rajojen yli, vaan ne ovat myös luoneet esteitä sähköisten allekirjoitusten EU:n laajuiselle yhteentoimivuudelle ja vaikuttavat tällä hetkellä samalla tavoin sähköiseen tunnistamiseen, sähköiseen todentamiseen ja näihin liittyviin luottamuspalveluihin.

1.5.3.     Vastaavista toimista saadut kokemukset

Ehdotuksessa on hyödynnetty sähköisistä allekirjoituksista annetusta direktiivistä saatuja kokemuksia ja kohdattuja ongelmia, jotka johtuvat direktiivin hajanaisesta täytäntöönpanosta ja sisällyttämisestä kansalliseen lainsäädäntöön ja jotka ovat estäneet sitä saavuttamasta tavoitteitaan.

1.5.4.     Yhteensopivuus muiden kyseeseen tulevien välineiden kanssa ja mahdolliset synergiaedut

Sähköisiä allekirjoituksia koskevaan direktiiviin viitataan useissa muissa EU-säädöksissä, jotka on luotu poistamaan yhteentoimivuuteen ja rajat ylittävään tunnustamiseen ja hyväksymiseen liittyviä ongelmia erityyppisissä sähköisen vuorovaikutuksen muodoissa. Tällaisia säädöksiä ovat esimerkiksi palveludirektiivi, julkisia hankintoja koskevat direktiivit, tarkistettu alv-direktiivi (sähköiset laskut) ja eurooppalaista kansalaisaloitetta koskeva direktiivi.

Lisäksi ehdotetulla asetuksella luodaan oikeudelliset puitteet, jotka hyödyttävät suuren mittakaavan pilottihankkeita, joita on käynnistetty EU-tasolla tukemaan yhteentoimivien ja luotettavien sähköisten viestintämenetelmien kehitystä (esim. SPOCS, joka tukee palveludirektiivin täytäntöönpanoa; STORK, joka tukee yhteentoimivien sähköisten henkilökorttien kehittämistä ja käyttöä; PEPPOL, joka tukee sähköisiin hankintoihin liittyvien yhteentoimivien ratkaisujen kehittämistä ja käyttöä; epSOS, joka tukee sähköiseen terveydenhuoltoon liittyvien yhteentoimivien ratkaisujen kehittämistä ja käyttöä sekä eCodex, joka tukee sähköiseen oikeudenkäyttöön liittyvien yhteentoimivien ratkaisujen kehittämistä).

1.6.        Toiminnan ja sen rahoitusvaikutusten kesto

¨ (Ehdotuksen/aloitteen mukaisen toiminnan kesto on rajattu.

– ¨  Ehdotuksen/aloitteen mukainen toiminta alkaa [PP/KK]VVVV ja päättyy [PP/KK]VVVV.

– ¨  Rahoitusvaikutukset alkavat vuonna VVVV ja päättyvät vuonna VVVV.

þ Ehdotuksen/aloitteen mukaisen toiminnan kestoa ei ole rajattu.

1.7.        Hallinnointitapa (hallinnointitavat)[27]

þ Komissio hallinnoi suoraan keskitetysti

¨ välillinen keskitetty hallinnointi, jossa täytäntöönpanotehtäviä on siirretty

– ¨  toimeenpanovirastoille

– ¨  yhteisöjen perustamille elimille[28]

– ¨  kansallisille julkisoikeudellisille elimille tai julkisen palvelun tehtäviä hoitaville elimille

– ¨  henkilöille, joille on annettu tehtäväksi toteuttaa Euroopan unionista tehdyn sopimuksen V osaston mukaisia erityistoimia ja jotka nimetään varainhoitoasetuksen 49 artiklan mukaisessa perussäädöksessä

¨ hallinnointi yhteistyössä jäsenvaltioiden kanssa

¨ hajautettu hallinnointi yhteistyössä kolmansien maiden kanssa

¨ hallinnointi yhteistyössä kansainvälisten järjestöjen kanssa (tarkennettava)

Jos käytetään useampaa kuin yhtä hallinnointitapaa, huomautuksille varatussa kohdassa olisi annettava lisätietoja.

Huomautukset:

[//]

2.           HALLINNOINTI

2.1.        Seuranta- ja raportointisäännöt

Ilmoitetaan sovellettavat aikavälit ja edellytykset.

Ensimmäinen arviointi tehdään neljän vuoden kuluttua asetuksen voimaantulosta. Asetus sisältää nimenomaisen lausekkeen, jonka mukaan komissio raportoi Euroopan parlamentille ja neuvostolle sen soveltamisesta. Sen jälkeen raportit toimitetaan neljän vuoden välein. Komissio soveltaa omaa arviointimenettelyään. Arvioinnit perustuvat säädösten täytäntöönpanoa koskeviin selvityksiin, kansallisille viranomaisille osoitettaviin kyselyihin, asiantuntijakeskusteluihin, työpajoihin, eurobarometritutkimuksiin jne.

2.2.        Hallinnointi- ja valvontajärjestelmä

2.2.1.     Todetut riskit

Asetusehdotukselle on tehty vaikutusten arviointi, joka toimitetaan ehdotuksen ohessa. Uudella oikeudellisella välineellä säädetään sähköisen tunnistamisen vastavuoroisesta tunnustamisesta ja hyväksymisestä rajojen yli, parannetaan sähköisten allekirjoitusten nykyisiä puitteita, vahvistetaan luottamuspalvelujen tarjoajien kansallista valvontaa ja säädetään asiaan liittyvien luottamuspalvelujen oikeusvaikutuksista ja tunnustamisesta. Sillä otetaan käyttöön myös delegoidut ja täytäntöönpanosäädökset mekanismina, jolla varmistetaan joustavuus suhteessa teknologian kehitykseen.

2.2.2.     Valvontamenetelmä(t)

Komission nykyisiä valvontamenetelmiä voidaan soveltaa myös lisämäärärahoihin.

2.3.        Toimenpiteet petosten ja sääntöjenvastaisuuksien ehkäisemiseksi

Ilmoitetaan käytössä olevat ja suunnitellut torjunta- ja suojatoimenpiteet

Komission nykyisiä petostentorjuntatoimenpiteitä voidaan soveltaa myös lisämäärärahoihin.

3.           EHDOTUKSEN/ALOITTEEN ARVIOIDUT RAHOITUSVAIKUTUKSET

3.1.        Kyseeseen tulevat monivuotisen rahoituskehyksen otsakkeet ja menopuolen budjettikohdat

· Talousarviossa jo olevat budjettikohdat

Monivuotisen rahoituskehyksen otsakkeiden ja budjettikohtien mukaisessa järjestyksessä

Moniv. rahoitus­kehyksen otsake || Budjettikohta || Menolaji || Rahoitusosuudet

Numero [Kuvaus...............................................…...….] || JM/EI-JM ([29]) || EFTA-mailta[30] || Ehdokas­mailta[31] || Kolman­silta mailta || Varainhoitoasetuk­sen 18 artiklan 1 kohdan aa alakohdassa tarkoitetut rahoitusosuudet

5 || 09. 01 01 01 Tietoyhteiskunnan ja viestinten pääosastossa työskentelevään aktiiviseen henkilöstöön liittyvät menot || EI-JM || EI || EI || EI || EI

5 || 09. 01 02 01 Ulkopuolinen henkilöstö || EI-JM || EI || EI || EI || EI

3.2.        Arvioidut vaikutukset menoihin

3.2.1.     Yhteenveto arvioiduista vaikutuksista menoihin

Monivuotisen rahoituskehyksen otsake: || Numero || [Otsake 1. Älykäs ja osallistava kasvu ……………...……………………………………………………………….]

PÄÄOSASTO: INFSO || || || Vuosi 2014 || Vuosi 2015 || Vuosi 2016 || Vuosi 2017 || Vuosi 2018 || Vuosi 2019 || Vuosi 2020 || YHTEENSÄ

Ÿ Toimintamäärärahat || || || || || || || ||

Budjettikohdan numero - Ei sovelleta || Sitoumukset || (1) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Maksut || (2) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Budjettikohdan numero - Ei sovelleta || Sitoumukset || (1a) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Maksut || (2a) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Tiettyjen ohjelmien määrärahoista katettavat  hallintomäärärahat[32] || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Budjettikohdan numero || || (3) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Määrärahat yhteensä DG INFSOn osalta || Sitoumukset || =1+1a +3 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Maksut || =2+2a +3 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Monivuotisen rahoituskehyksen otsake: || 5 || ”Hallintomenot”

milj. euroa (kolmen desimaalin tarkkuudella)

|| || || Vuosi 2014 || Vuosi 2015 || Vuosi 2016 || Vuosi 2017 || Vuosi 2018 || Vuosi 2019 || Vuosi 2020 || YHTEENSÄ

PÄÄOSASTO: INFSO

Ÿ Henkilöresurssit || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Ÿ Muut hallintomenot || || || || || || || ||

DG INFSO YHTEENSÄ || Määrärahat || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 kuuluvat määrärahat YHTEENSÄ || (Sitoumukset yhteensä = maksut yhteensä) || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

milj. euroa (kolmen desimaalin tarkkuudella)

|| || || Vuosi 2014 || Vuosi 2015 || Vuosi 2016 || Vuosi 2017 || Vuosi 2018 || Vuosi 2019 || Vuosi 2020 || YHTEENSÄ

Monivuotisen rahoituskehyksen OTSAKKEISIIN 1-5 kuuluvat määrärahat YHTEENSÄ || Sitoumukset || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Maksut || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

3.2.2.     Arvioidut vaikutukset toimintamäärärahoihin

– þ  Ehdotus/aloite ei edellytä toimintamäärärahoja.

– ¨  Ehdotus/aloite edellyttää toimintamäärärahoja seuraavasti:

3.2.3.     Arvioidut vaikutukset hallintomäärärahoihin

3.2.3.1.  Yhteenveto

– ¨  Ehdotus/aloite ei edellytä hallintomäärärahoja.

– þ  Ehdotus/aloite edellyttää hallintomäärärahoja seuraavasti:

milj. euroa (kolmen desimaalin tarkkuudella)

|| Vuosi N 2014 || Vuosi 2015 || Vuosi 2016 || Vuosi 2017 || Vuosi 2018 || Vuosi 2019 || Vuosi 2020 || YHTEENSÄ

Monivuotisen rahoituskehyksen OTSAKE 5 || || || || || || || ||

Henkilöresurssit || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Muut hallintomenot || || || || || || || ||

Monivuotisen rahoituskehyksen OTSAKE 5, välisumma || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 sisältymättömät[33] || || || || || || || ||

Henkilöresurssit || || || || || || || ||

Muut hallintomenot || || || || || || || ||

Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 sisältymättömät, välisumma || || || || || || || ||

YHTEENSÄ || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

3.2.3.2.  Henkilöresurssien arvioitu tarve

– ¨  Ehdotus/aloite ei edellytä henkilöresursseja.

– þ  Ehdotus/aloite edellyttää henkilöresursseja seuraavasti:

arvio kokonaislukuina (tai enintään yhden desimaalin tarkkuudella)

|| Vuosi 2014 || Vuosi 2015 || Vuosi 2016 || Vuosi 2017 || Vuosi 2018 || Vuosi 2019 || Vuosi 2020

Ÿ Henkilöstötaulukkoon sisältyvät virat/toimet (virkamiehet ja väliaikaiset toimihenkilöt)

09 01 01 01 (päätoimipaikka ja komission edustustot EU:ssa) || 9 || 9 || 9 || 9 || 9 || 9 || 9

XX 01 01 02 (edustustot EU:n ulkopuolella) || || || || || || ||

XX 01 05 01 (epäsuora tutkimustoiminta) || || || || || || ||

10 01 05 01 (suora tutkimustoiminta) || || || || || || ||

Ÿ Ulkopuolinen henkilöstö (kokoaikaiseksi muutettuna)[34]

09 01 02 01 (kokonaismäärärahoista katettavat sopimussuhteiset toimihenkilöt, vuokrahenkilöstö ja kansalliset asiantuntijat) || 3 || 3 || 3 || 3 || 3 || 3 || 3

XX 01 02 02 (sopimussuhteiset ja paikalliset toimihenkilöt, vuokrahenkilöstö, nuoremmat asiantuntijat ja kansalliset asiantuntijat EU:n ulkopuolisissa edustustoissa) || || || || || || ||

XX 01 04 yy[35] || - päätoimipaikassa[36] || || || || || || ||

- EU:n ulkop. edustustoissa || || || || || || ||

XX 01 05 02 (epäsuora tutkimustoiminta: sopimussuhteiset toimihenkilöt, vuokrahenkilöstö ja kansalliset asiantuntijat) || || || || || || ||

10 01 05 02 (suora tutkimustoiminta: sopimussuhteiset toimihenkilöt, vuokrahenkilöstö ja kansalliset asiantuntijat) || || || || || || ||

Muu budjettikohta (mikä?) || || || || || || ||

YHTEENSÄ || 12 || 12 || 12 || 12 || 12 || 12 || 12

Henkilöresurssien tarve katetaan toimen hallinnointiin jo osoitetulla pääosaston henkilöstöllä ja/tai pääosastossa toteutettujen henkilöstön uudelleenjärjestelyjen tuloksena saadulla henkilöstöllä sekä tarvittaessa sellaisilla lisäresursseilla, jotka toimea hallinnoiva pääosasto voi saada käyttöönsä vuotuisessa määrärahojen jakomenettelyssä talousarvion puitteissa.

Kuvaus henkilöstön tehtävistä:

Virkamiehet ja väliaikaiset toimihenkilöt || Kaavaillun asetuksen ja siihen liittyvien delegoitujen / täytäntöönpanosäädösten hyväksymiseen Euroopan parlamentissa ja neuvostossa liittyvien lainsäädäntömenettelyjen hallinnointi Painopistealat: 1.    Sähköisiin luottamuspalveluihin liittyvien uusien lainsäädäntöpuitteiden luominen. 2.    Sähköisten luottamuspalvelujen käytön edistäminen lisäämällä pk-yritysten ja kansalaisten tietoisuutta niiden mahdollisuuksista. 3.    Direktiiviin 1999/93/EY liittyvät jatkotoimet, mukaan luettuina kansainväliset näkökohdat. 4.    Suuren mittakaavan pilottihankkeiden tehostaminen uusien lainsäädäntöpuitteiden tavoitteiden saavuttamisen nopeuttamiseksi.

Ulkopuolinen henkilöstö || Samat kuin yllä

3.2.4.     Yhteensopivuus nykyisen monivuotisen rahoituskehyksen kanssa

– þ  Ehdotus/aloite on nykyisen monivuotisen rahoituskehyksen mukainen.

– ¨  Ehdotus/aloite edellyttää rahoituskehyksen asianomaisen otsakkeen rahoitussuunnitelman muuttamista.

Selvitys rahoitussuunnitelmaan tarvittavista muutoksista, mainittava myös kyseeseen tulevat budjettikohdat ja määrät

– ¨  Ehdotus/aloite edellyttää joustovälineen varojen käyttöön ottamista tai monivuotisen rahoituskehyksen tarkistamista[37].

Selvitys tarvittavista toimenpiteistä, mainittava myös kyseeseen tulevat rahoituskehyksen otsakkeet, budjettikohdat ja määrät

3.2.5.     Ulkopuolisten tahojen osallistuminen rahoitukseen

– þ Ehdotuksen/aloitteen rahoittamiseen ei osallistu ulkopuolisia tahoja.

– ¨ Ehdotuksen/aloitteen rahoittamiseen osallistuu ulkopuolisia tahoja seuraavasti (arvio):

3.3.      Arvioidut vaikutukset tuloihin

– þ  Ehdotuksella/aloitteella ei ole vaikutuksia tuloihin.

– ¨  Ehdotuksella/aloitteella on vaikutuksia tuloihin seuraavasti:

· ¨            vaikutukset omiin varoihin

· ¨            vaikutukset sekalaisiin tuloihin

[1]               KOM(2010) 245, 19.5.2010.

[2]               KOM(2011) 206 lopullinen, 13.4.2011.

[3]               KOM(2011) 669, 12.10.2011.

[4]               EYVL L 13, 19.1.2000, s. 12.

[5]               Yksityiskohtaisempaa tietoa kuulemisista: http://ec.europa.eu/information_society/policy/esignature/eu_legislation/revision.

[6]               Sidosryhmäseminaari järjestettiin 10.3.2011. Siihen kutsuttiin julkisen ja yksityisen sektorin sekä yliopistomaailman edustajia keskustelemaan tulevien haasteiden edellyttämistä lainsäädäntötoimenpiteistä. Kyseessä oli vuorovaikutteinen tilaisuus, jossa vaihdettiin näkemyksiä ja nostettiin esiin erilaisia kantoja julkisessa kuulemisessa tarkasteltuihin kysymyksiin. Useat organisaatiot toimittivat lausuntoja myös oma-aloitteisesti.

[7]               Puolan puheenjohtajakaudella järjestettiin jäsenvaltioiden tapaaminen sähköisistä allekirjoituksista Varsovassa 9.11.2011 ja sähköisestä tunnistamisesta Poznanissa 17.11.2011. Komissio kutsui 25.1.2012 kokoon jäsenvaltioiden seminaarin keskustelemaan sähköiseen tunnistamiseen, todentamiseen ja allekirjoittamiseen liittyvistä jäljellä olevista kysymyksistä.

[8]               Ensimmäisessä kokonaisuudessa tarkasteltiin neljää vaihtoehtoa: sähköisistä allekirjoituksista annetun direktiivin kumoaminen; sääntelyä ei muuteta; oikeusvarmuuden parantaminen, kansallisen valvonnan koordinoinnin parantaminen ja sähköisen tunnistamisen keskinäisen tunnustamisen ja hyväksymisen varmistaminen koko EU:ssa; sääntelyn laajentaminen koskemaan tiettyjä asiaan liittyviä luottamuspalveluja. Toisessa kokonaisuudessa pohdittiin, pitäisikö sääntely toteuttaa yhdellä vai kahdella säädöksellä ja pitäisikö antaa asetus vai direktiivi, ja mitä etuja tai haittoja näihin vaihtoehtoihin liittyisi. Kolmannessa kokonaisuudessa verrattiin yhteisiin keskeisiin valvontavaatimuksiin perustuvien kansallisten valvontajärjestelmien toteuttamista ja EU-pohjaista valvontajärjestelmää. Kukin vaihtoehto arvioitiin. Arvioinnissa saatiin apua ryhmältä, jossa oli mukana edustajia kaikista asiaan liittyvistä komission pääosastoista. Arvioinnissa tarkasteltiin kunkin vaihtoehdon tuloksellisuutta tavoitteiden saavuttamisen kannalta, sen taloudellisia vaikutuksia sidosryhmiin (myös EU:n toimielinten talousarvioon), sen yhteiskunnallisia ja ympäristövaikutuksia sekä sen vaikutuksia hallinnolliseen taakkaan.

[9]               Komission tiedonanto: Eurooppa 2020: Älykkään, kestävän ja osallistavan kasvun strategia, KOM(2010) 2010, 3.3.2010.

[10]             Luotettava luettelo, joka on vahvistettu komission päätöksellä 2009/767/EY, sellaisena kuin se on muutettuna komission päätöksellä 2010/425/EU, muodostaa perustan tämän asetuksen nojalla laadittavista luotettavista luetteloista annettavalle uudelle komission päätökselle.

[11]             EUVL C , , s. .

[12]             EUVL C , , s. .

[13]             EYVL L 13, 19.1.2000, s. 12.

[14]             KOM(2010) 245 lopullinen/2.

[15]             Katsaus Euroopan unionin kansalaisuuteen vuonna 2010: Unionin kansalaisoikeuksien esteiden poistaminen, KOM(2010) 603 lopullinen, kohta 2.2.2, s. 13.

[16]             4/2/2011: EUCO 2/1/11.

[17]             23/10/2011: EUCO 52/1/11.

[18]             Neuvoston päätelmät Euroopan sähköisen hallinnon toimintasuunnitelmasta 2011–2015, neuvoston (liikenne, televiestintä ja energia) 3093. istunto, Bryssel, 27. toukokuuta 2011.

[19]             Euroopan parlamentin päätöslauselma 21. syyskuuta 2010 sisämarkkinoiden täydentämisestä sähköistä kaupankäyntiä ajatellen, P7_TA(2010)0320, ja Euroopan parlamentin päätöslauselma 15. kesäkuuta 2010 internetin hallinnosta tästä eteenpäin, P7_TA(2010)0208.

[20]             EUVL L 376, 27.12.2006, s. 36.

[21]             EUVL L 88, 4.4.2011, s. 45.

[22]             EYVL L 281, 23.11.1995, s. 31.

[23]             EUVL L 274, 20.10.2009, s. 36.

[24]             EUVL L 55, 28.2.2011, s. 13.

[25]             ABM: toimintoperusteinen johtaminen; ABB: toimintoperusteinen budjetointi.

[26]             Sellaisina kuin nämä on määritelty varainhoitoasetuksen 49 artiklan 6 kohdan a ja b alakohdassa.

[27]             Kuvaukset eri hallinnointitavoista ja viittaukset varainhoitoasetukseen ovat saatavilla budjettipääosaston verkkosivuilla osoitteessa http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

[28]             Sellaisina kuin nämä on määritelty varainhoitoasetuksen 185 artiklassa.

[29]             JM = jaksotetut määrärahat; EI-JM = jaksottamattomat määrärahat.

[30]             EFTA: Euroopan vapaakauppaliitto.

[31]             Ehdokasmaat ja soveltuvin osin Länsi-Balkanin mahdolliset ehdokasmaat.

[32]             Tekninen ja/tai hallinnollinen apu sekä EU:n ohjelmien ja/tai toimien toteuttamiseen liittyvät tukimenot (entiset BA-budjettikohdat), epäsuora ja suora tutkimustoiminta.

[33]             Tekninen ja/tai hallinnollinen apu sekä EU:n ohjelmien ja/tai toimien toteuttamiseen liittyvät tukimenot (entiset BA-budjettikohdat), epäsuora ja suora tutkimustoiminta.

[34]             Sopimussuhteiset toimihenkilöt, vuokrahenkilöstö, nuoremmat asiantuntijat lähetystöissä, paikalliset toimihenkilöt ja kansalliset asiantuntijat.

[35]             Toimintamäärärahoista katettavan ulkopuolisen henkilöstön enimmäismäärä (entiset BA-budjettikohdat).

[36]             Etenkin rakennerahastot, Euroopan maaseudun kehittämisen maatalousrahasto (maaseuturahasto) ja Euroopan kalatalousrahasto.

[37]             Katso toimielinten sopimuksen 19 ja 24 kohta.