02014R0910 — FI — 20.05.2024 — 001.001
Tämä asiakirja on ainoastaan dokumentoinnin apuväline eikä sillä ole oikeudellista vaikutusta. Unionin toimielimet eivät vastaa sen sisällöstä. Säädösten todistusvoimaiset versiot on johdanto-osineen julkaistu Euroopan unionin virallisessa lehdessä ja ne ovat saatavana EUR-Lexissä. Näihin virallisiin teksteihin pääsee suoraan tästä asiakirjasta siihen upotettujen linkkien kautta.
|
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, (EUVL L 257 28.8.2014, s. 73) |
Muutettu:
|
|
|
Virallinen lehti |
||
|
N:o |
sivu |
päivämäärä |
||
|
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2024/1183, annettu 11 päivänä huhtikuuta 2024, |
L 1183 |
1 |
30.4.2024 |
|
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) N:o 910/2014,
annettu 23 päivänä heinäkuuta 2014,
sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta
I
LUKU
YLEISET SÄÄNNÖKSET
1 artikla
Kohde
Tällä asetuksella pyritään varmistamaan sisämarkkinoiden moitteeton toiminta ja tietoturvan riittävän korkea taso kaikkialla unionissa käytettäville sähköisen tunnistamisen menetelmille ja luottamuspalveluille, jotta luonnolliset henkilöt ja oikeushenkilöt voivat käyttää oikeuttaan osallistua digitaaliyhteiskuntaan turvallisesti ja hyödyntää julkisia ja yksityisiä verkkopalveluja kaikkialla unionissa. Tätä varten tässä asetuksessa
säädetään edellytyksistä, joiden mukaisesti jäsenvaltiot tunnustavat luonnollisten henkilöiden ja oikeushenkilöiden sähköisen tunnistamisen menetelmät, jotka kuuluvat toisen jäsenvaltion ilmoitetun sähköisen tunnistamisen järjestelmän piiriin, ja tarjoavat ja tunnustavat eurooppalaisia digitaalisen identiteetin lompakoita;
säädetään luottamuspalveluja koskevista säännöistä erityisesti sähköisten transaktioiden osalta;
vahvistetaan oikeudelliset puitteet sähköisille allekirjoituksille, sähköisille leimoille, sähköisille aikaleimoille, sähköisille asiakirjoille, sähköisille rekisteröidyille jakelupalveluille, verkkosivustojen todentamisen varmennepalveluille, sähköiselle arkistoinnille, sähköisille attribuuttitodistuksille, sähköisen allekirjoituksen luontivälineille, sähköisen leiman luontivälineille ja sähköisille tilikirjoille.
2 artikla
Soveltamisala
3 artikla
Määritelmät
Tässä asetuksessa tarkoitetaan:
’sähköisellä tunnistamisella’ prosessia, jossa käytetään tiettyä luonnollista henkilöä, oikeushenkilöä taikka toista luonnollista henkilöä tai oikeushenkilöä edustavaa luonnollista henkilöä vastaavia yksilöiviä tunnistetietoja sähköisessä muodossa;
’sähköisen tunnistamisen menetelmällä’ aineellista ja/tai aineetonta kokonaisuutta, joka sisältää henkilön tunnistetietoja ja jota käytetään verkkopalveluun tai tapauksen mukaan verkon ulkopuoliseen palveluun liittyvään todentamiseen;
’henkilön tunnistetiedoilla’ tietoja, jotka on annettu unionin oikeuden tai kansallisen lainsäädännön mukaisesti ja jotka mahdollistavat luonnollisen henkilön, oikeushenkilön taikka toista luonnollista henkilöä tai oikeushenkilöä edustavan luonnollisen henkilön henkilöllisyyden toteamisen;
’sähköisen tunnistamisen järjestelmällä’ sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköisen tunnistamisen menetelmiä myönnetään luonnollisille henkilöille, oikeushenkilöille taikka muita luonnollisia henkilöitä tai oikeushenkilöitä edustaville luonnollisille henkilöille;
’todentamisella’ sähköistä prosessia, joka mahdollistaa luonnollisen henkilön tai oikeushenkilön sähköisen tunnistamisen vahvistamisen tai sähköisessä muodossa olevien tietojen alkuperän ja eheyden vahvistamisen;
’käyttäjällä’ luonnollista henkilöä tai oikeushenkilöä taikka toista luonnollista henkilöä tai oikeushenkilöä edustavaa luonnollista henkilöä, joka käyttää tämän asetuksen mukaisesti tarjottuja luottamuspalveluja tai sähköisen tunnistamisen menetelmiä;
’luottavalla osapuolella’ luonnollista henkilöä tai oikeushenkilöä, joka luottaa sähköiseen tunnistamiseen, eurooppalaisiin digitaalisen identiteetin lompakoihin tai muihin sähköisen tunnistamisen menetelmiin taikka luottamuspalveluun;
’julkisen sektorin elimellä’ valtion viranomaista, alueviranomaista tai paikallisviranomaista, julkisoikeudellista laitosta taikka yhden tai useamman tällaisen viranomaisen tai yhden tai useamman tällaisen julkisoikeudellisen laitoksen muodostamaa yhteenliittymää, taikka yksityistä yhteisöä, jonka vähintään yksi kyseisistä viranomaisista, laitoksista tai yhteenliittymistä on valtuuttanut tarjoamaan julkisia palveluja, niiden toimiessa tällaisen valtuutuksen nojalla;
’julkisoikeudellisella laitoksella’ Euroopan parlamentin ja neuvoston direktiivin 2014/24/EU ( 2 ) 2 artiklan 1 kohdan 4 alakohdassa määriteltyä laitosta;
’allekirjoittajalla’ luonnollista henkilöä, joka luo sähköisen allekirjoituksen;
’sähköisellä allekirjoituksella’ sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen;
’kehittyneellä sähköisellä allekirjoituksella’ sähköistä allekirjoitusta, joka täyttää 26 artiklassa säädetyt vaatimukset;
’hyväksytyllä sähköisellä allekirjoituksella’ kehittynyttä sähköistä allekirjoitusta, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen;
’sähköisen allekirjoituksen luontitiedoilla’ yksilöiviä tietoja, joita allekirjoittaja käyttää sähköisen allekirjoituksen luomiseen;
’sähköisen allekirjoituksen varmenteella’ sähköistä todistusta, joka liittää sähköisen allekirjoituksen validointitiedot luonnolliseen henkilöön ja vahvistaa vähintään kyseisen henkilön nimen tai salanimen;
’sähköisen allekirjoituksen hyväksytyllä varmenteella’ sähköisen allekirjoituksen varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä I säädetyt vaatimukset;
’luottamuspalvelulla’ sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu mistä tahansa seuraavista:
sähköisten allekirjoitusten varmenteiden, sähköisten leimojen varmenteiden, verkkosivustojen todentamisen varmenteiden tai muiden luottamuspalvelujen tarjoamista koskevien varmenteiden myöntäminen;
sähköisten allekirjoitusten varmenteiden, sähköisten leimojen varmenteiden, verkkosivustojen todentamisen varmenteiden tai muiden luottamuspalvelujen tarjoamista koskevien varmenteiden validointi;
sähköisten allekirjoitusten tai sähköisten leimojen luominen;
sähköisten allekirjoitusten tai sähköisten leimojen validointi;
sähköisten allekirjoitusten, sähköisten leimojen, sähköisten allekirjoitusten varmenteiden tai sähköisten leimojen varmenteiden säilyttäminen;
sähköisen allekirjoituksen etäluontivälineiden tai sähköisen leiman etäluontivälineiden hallinnointi;
sähköisten attribuuttitodistusten myöntäminen;
sähköisten attribuuttitodistusten validointi;
sähköisten aikaleimojen luominen;
sähköisten aikaleimojen validointi;
sähköisten rekisteröityjen jakelupalvelujen tarjoaminen;
sähköisten rekisteröityjen jakelupalvelujen kautta toimitettujen tietojen ja niihin liittyvien todisteiden validointi;
sähköisten tietojen ja sähköisten asiakirjojen sähköinen arkistointi;
sähköisten tietojen tallentaminen sähköiseen tilikirjaan.
’hyväksytyllä luottamuspalvelulla’ luottamuspalvelua, joka täyttää tässä asetuksessa säädetyt sovellettavat vaatimukset;
’vaatimustenmukaisuuden arviointilaitoksella’ asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa määriteltyä vaatimustenmukaisuuden arviointilaitosta, joka on akkreditoitu kyseisen asetuksen mukaisesti päteväksi arvioimaan hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen vaatimustenmukaisuus tai päteväksi sertifioimaan eurooppalaiset digitaalisen identiteetin lompakot tai sähköisen tunnistamisen menetelmät;
’luottamuspalvelun tarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa yhtä tai useampaa luottamuspalvelua joko hyväksyttynä tai ei-hyväksyttynä luottamuspalvelun tarjoajana;
’hyväksytyllä luottamuspalvelun tarjoajalla’ luottamuspalvelun tarjoajaa, joka tarjoaa yhtä tai useampaa hyväksyttyä luottamuspalvelua ja jolle valvontaelin on myöntänyt hyväksytyn aseman;
’tuotteella’ laitteistoja tai ohjelmistoja taikka laitteistojen tai ohjelmistojen merkityksellisiä osia, jotka on tarkoitettu käytettäviksi sähköisen tunnistamisen ja luottamuspalvelujen tarjoamiseen;
’sähköisen allekirjoituksen luontivälineellä’ asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen allekirjoituksen luomiseen;
’hyväksytyllä sähköisen allekirjoituksen luontivälineellä’ sähköisen allekirjoituksen luontivälinettä, joka täyttää liitteessä II säädetyt vaatimukset;
’hyväksytyllä sähköisen allekirjoituksen etäluontivälineellä’ hyväksyttyä sähköisen allekirjoituksen luontivälinettä, jota hyväksytty luottamuspalvelun tarjoaja hallinnoi allekirjoittajan puolesta 29 a artiklan mukaisesti;
’hyväksytyllä sähköisen leiman etäluontivälineellä’ hyväksyttyä sähköisen leiman luontivälinettä, jota hyväksytty luottamuspalvelun tarjoaja hallinnoi leiman luojan puolesta 39 a artiklan mukaisesti;
’leiman luojalla’ oikeushenkilöä, joka luo sähköisen leiman;
’sähköisellä leimalla’ sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon viimeksi mainitun tiedon alkuperän ja eheyden varmistamiseksi;
’kehittyneellä sähköisellä leimalla’ sähköistä leimaa, joka täyttää 36 artiklassa säädetyt vaatimukset;
’hyväksytyllä sähköisellä leimalla’ kehittynyttä sähköistä leimaa, joka on luotu hyväksytyllä sähköisen leiman luontivälineellä ja joka perustuu sähköisen leiman hyväksyttyyn varmenteeseen;
’sähköisen leiman luontitiedoilla’ yksilöiviä tietoja, joita sähköisen leiman luoja käyttää sähköisen leiman luomiseen;
’sähköisen leiman varmenteella’ sähköistä todistusta, joka liittää sähköisen leiman validointitiedot oikeushenkilöön ja vahvistaa kyseisen henkilön nimen;
’sähköisen leiman hyväksytyllä varmenteella’ sähköisen leiman varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä III säädetyt vaatimukset;
’sähköisen leiman luontivälineellä’ asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen leiman luomiseen;
’hyväksytyllä sähköisen leiman luontivälineellä’ sähköisen leiman luontivälinettä, joka täyttää soveltuvin osin liitteessä II säädetyt vaatimukset;
’sähköisellä aikaleimalla’ sähköisessä muodossa olevia tietoja, jotka sitovat muut sähköisessä muodossa olevat tiedot tiettyyn ajankohtaan ja muodostavat todisteen viimeksi mainittujen tietojen olemassaolosta kyseisenä ajankohtana;
’hyväksytyllä sähköisellä aikaleimalla’ sähköistä aikaleimaa, joka täyttää 42 artiklassa säädetyt vaatimukset;
’sähköisellä asiakirjalla’ kaikkea sisältöä, joka on tallennettu sähköisessä muodossa, erityisesti tekstinä tai äänenä, visuaalisessa muodossa tai audiovisuaalisena tallenteena;
’sähköisellä rekisteröidyllä jakelupalvelulla’ palvelua, jonka avulla tietoa voidaan siirtää sähköisesti kolmansien osapuolten välillä ja joka antaa siirretyn tiedon käsittelyyn liittyviä todisteita, muun muassa vahvistuksen tietojen lähettämisestä ja vastaanottamisesta, ja joka suojaa siirretyt tiedot häviämisen, varkauden, vaurioitumisen tai luvattomien muutosten riskiltä;
’hyväksytyllä sähköisellä rekisteröidyllä jakelupalvelulla’ sähköistä rekisteröityä jakelupalvelua, joka täyttää 44 artiklassa säädetyt vaatimukset;
’verkkosivustojen todentamisen varmenteella’ sähköistä todistusta, jonka avulla verkkosivusto voidaan todentaa ja joka liittää verkkosivuston siihen luonnolliseen henkilöön tai oikeushenkilöön, jolle varmenne on myönnetty;
’verkkosivustojen todentamisen hyväksytyllä varmenteella’ verkkosivustojen todentamisen varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä IV säädetyt vaatimukset;
’validointitiedoilla’ tietoja, joita käytetään sähköisen allekirjoituksen tai sähköisen leiman validointiin;
’validoinnilla’ prosessia sen tarkistamiseksi ja vahvistamiseksi, että sähköisessä muodossa olevat tiedot ovat päteviä tämän asetuksen mukaisesti;
’eurooppalaisella digitaalisen identiteetin lompakolla’ sähköisen tunnistamisen menetelmää, jonka avulla käyttäjä voi turvallisesti tallentaa, hallinnoida ja validoida henkilön tunnistetietoja ja sähköisiä attribuuttitodistuksia niiden tarjoamiseksi luottaville osapuolille ja muille eurooppalaisten digitaalisen identiteetin lompakkojen käyttäjille sekä allekirjoittaa hyväksyttyjen sähköisten allekirjoitusten tai leimata hyväksyttyjen sähköisten leimojen avulla;
’attribuutilla’ luonnollisen henkilön, oikeushenkilön tai esineen ominaispiirrettä, laatua, oikeutta tai lupaa;
’sähköisellä attribuuttitodistuksella’ sähköisessä muodossa olevaa todistusta, joka mahdollistaa attribuuttien todentamisen;
’hyväksytyllä sähköisellä attribuuttitodistuksella’ sähköistä attribuuttitodistusta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä V säädetyt vaatimukset;
’virallisesta lähteestä vastaavan julkisen sektorin elimen myöntämällä tai sen puolesta myönnetyllä sähköisellä attribuuttitodistuksella’ sähköistä attribuuttitodistusta, jonka on myöntänyt virallisesta lähteestä vastaava julkisen sektorin elin tai julkisen sektorin elin, jonka jäsenvaltio on nimennyt myöntämään tällaisia attribuuttitodistuksia niiden julkisen sektorin elinten puolesta, jotka vastaavat virallisista lähteistä 45 f artiklan ja liitteen VII mukaisesti;
’virallisella lähteellä’ julkisen sektorin elimen tai yksityisen tahon vastuulla ylläpidettyä rekisteriä tai järjestelmää, joka sisältää ja tarjoaa luonnollisten henkilöiden tai oikeushenkilöiden tai asioiden attribuutteja ja jota pidetään näiden tietojen ensisijaisena lähteenä tai joka tunnustetaan viralliseksi unionin oikeuden tai kansallisen lainsäädännön mukaisesti, mukaan lukien hallintokäytännöt;
’sähköisellä arkistoinnilla’ palvelua, jolla varmistetaan sähköisten tietojen ja sähköisten asiakirjojen vastaanotto, tallentaminen, hakeminen ja poistaminen, jotta voidaan varmistaa niiden pysyvyys ja luettavuus sekä säilyttää niiden eheys ja luottamuksellisuus ja todistus alkuperästä koko säilytysajan;
’hyväksytyllä sähköisellä arkistointipalvelulla’ sähköistä arkistointipalvelua, jonka hyväksytty luottamuspalvelujen tarjoaja tarjoaa ja joka täyttää 45 j artiklassa säädetyt vaatimukset;
’EU:n digitaalisen identiteetin lompakon luotettavuusmerkillä’ tarkastettavissa olevaa, yksinkertaista, tunnistettavaa ja selkeästi viestittyä osoitusta siitä, että eurooppalainen digitaalisen identiteetin lompakko on tarjottu tämän asetuksen mukaisesti;
’käyttäjän vahvalla todentamisella’ todentamista, jossa käytetään todentamistietojen luottamuksellisuuden suojaamiseksi menettelyä, joka perustuu vähintään kahteen toisistaan riippumattomaan todentamistekijään, jotka kuuluvat eri ryhmiin, jotka ovat tieto eli jotain, minkä vain käyttäjä tietää, hallussapito eli jotain, mitä vain käyttäjällä on hallussaan, tai erityinen ominaisuus eli jotain, mitä käyttäjä on siten, että yhden rikkominen ei aseta kyseenalaiseksi muiden luotettavuutta;
’sähköisellä tilikirjalla’ sarjaa sähköisiä tietueita, joilla varmistetaan kyseisten tietueiden eheys ja kyseisten tietueiden kronologisen järjestyksen oikeellisuus;
’hyväksytyllä sähköisellä tilikirjalla’ sähköistä tilikirjaa, jonka hyväksytty luottamuspalvelujen tarjoaja tarjoaa ja joka täyttää 45 l artiklassa säädetyt vaatimukset;
’henkilötiedoilla’ asetuksen (EU) 2016/679 4 artiklan 1 alakohdassa määriteltyjä tietoja;
’henkilöllisyyden linkittämisellä’ prosessia, jossa henkilön tunnistetiedot tai sähköiset tunnistamismenetelmät yhdistetään tai liitetään samalle henkilölle kuuluvaan olemassa olevaan tiliin;
’tietueella’ sähköisiä tietoja, jotka on tallennettu tietojen käsittelyä tukevien metatietojen kera;
’verkon ulkopuolella’ eurooppalaisten digitaalisen identiteetin lompakoiden osalta käyttäjän ja kolmannen osapuolen välistä vuorovaikutusta fyysisessä paikassa lähiteknologiaa käyttäen, jolloin eurooppalaiselta digitaalisen identiteetin lompakolta ei vaadita pääsyä etäjärjestelmiin sähköisten viestintäverkkojen kautta vuorovaikutusta varten.
4 artikla
Sisämarkkinaperiaate
5 artikla
Pseudonyymien käyttö sähköisissä transaktioissa
Käyttäjän valitsemien pseudonyymien käyttöä ei kielletä, sanotun kuitenkaan rajoittamatta niiden unionin oikeuden tai kansallisen lainsäädännön erityisten sääntöjen soveltamista, joiden mukaan käyttäjien on tunnistauduttava, tai pseudonyymeille kansallisessa laissa annettavia oikeusvaikutuksia.
II
LUKU
SÄHKÖINEN TUNNISTAMINEN
1 JAKSO
Eurooppalainen digitaalisen identiteetin lompakko
5 a artikla
Eurooppalaiset digitaalisen identiteetin lompakot
Eurooppalaiset digitaalisen identiteetin lompakot tarjotaan jollakin seuraavista tavoista:
suoraan jäsenvaltion toimesta;
jäsenvaltion toimeksiannosta;
jäsenvaltiosta riippumatta mutta niin, että kyseinen jäsenvaltio tunnustaa sen.
Eurooppalaisten digitaalisen identiteetin lompakkojen avulla käyttäjän on voitava käyttäjäystävällisellä, läpinäkyvällä ja käyttäjän jäljitettävissä olevalla tavalla
turvallisesti pyytää, saada, valita, yhdistää, tallentaa, poistaa, jakaa ja esittää käyttäjän yksinomaisessa hallinnassa henkilön tunnistetietoja ja tapauksen mukaan yhdessä sähköisten attribuuttitodistusten kanssa todentautua luottaville osapuolille verkossa ja tapauksen mukaan verkon ulkopuolella julkisten ja yksityisten palvelujen käyttämiseksi, varmistaen samalla, että tietojen valikoiva luovuttaminen on mahdollista;
muodostaa pseudonyymejä ja tallentaa ne salattuina ja paikallisesti eurooppalaiseen digitaalisen identiteetin lompakkoon;
turvallisesti todentaa toisen henkilön eurooppalainen digitaalisen identiteetin lompakko ja vastaanottaa ja jakaa henkilön tunnistetietoja ja sähköisiä attribuuttitodistuksia turvallisesti kahden eurooppalaisen digitaalisen identiteetin lompakon välillä;
päästä kaikkien eurooppalaisen digitaalisen identiteetin lompakon kautta suoritettujen transaktioiden lokiin yhteisen ohjauspaneelin kautta, jonka avulla käyttäjä voi
tarkastella ajantasaista luetteloa luottavista osapuolista, joihin käyttäjä on luonut yhteyden, ja soveltuvissa tapauksissa kaikkea jaettua tietoa;
helposti pyytää, että luottava osapuoli poistaa henkilötietoja asetuksen (EU) 2016/679 17 artiklan mukaisesti;
raportoida helposti luottavasta osapuolesta kansalliselle toimivaltaiselle tietosuojaviranomaiselle, jos vastaanotettu tietopyyntö on väitetysti lainvastainen tai epäilyttävä;
allekirjoittaa hyväksytyillä sähköisillä allekirjoituksilla tai leimata käyttäen hyväksyttyjä sähköisiä leimoja;
ladata, siinä määrin kuin se on teknisesti mahdollista, käyttäjän tiedot, sähköiset attribuuttitodistukset ja konfiguraatiot;
käyttää käyttäjän oikeutta tietojen siirtoon.
Eurooppalaisten digitaalisen identiteetin lompakoiden on erityisesti
tuettava yhteisiä protokollia ja rajapintoja:
henkilön tunnistetietojen, hyväksyttyjen ja ei-hyväksyttyjen sähköisten attribuuttitodistusten tai hyväksyttyjen ja ei-hyväksyttyjen varmenteiden myöntämiseksi eurooppalaiseen digitaalisen identiteetin lompakkoon;
luottaville osapuolille, jotta ne voivat pyytää ja validoida henkilön tunnistetietoja ja sähköisiä attribuuttitodistuksia;
henkilöiden tunnistetietojen, sähköisten attribuuttitodistusten tai näihin liittyvän valikoiden luovutettavan tiedon jakamiseksi ja esittämiseksi luottaville osapuolille verkossa ja soveltuvissa tapauksissa verkon ulkopuolella;
jotta käyttäjä voi sallia vuorovaikutuksen eurooppalaisen digitaalisen identiteetin lompakon kanssa ja näyttää EU:n digitaalisen identiteetin lompakon luotettavuusmerkin;
käyttäjien turvallisen käyttösuhteen aloittamiseksi käyttämällä 5 a artiklan 24 kohdan mukaista sähköisen tunnistamisen menetelmää;
vuorovaikutukseen kahden henkilön eurooppalaisten digitaalisen identiteetin lompakoiden välillä tarkoituksena vastaanottaa, validoida ja jakaa henkilön tunnistetietoja ja sähköisiä attribuuttitodistuksia turvallisesti;
luottavien osapuolten todentamiseksi ja tunnistamiseksi ottamalla käyttöön todentamismekanismit 5 b artiklan mukaisesti;
luottaville osapuolille eurooppalaisten digitaalisen identiteetin lompakkojen aitouden ja voimassaolon tarkistamiseksi;
pyynnön esittämiseksi luottavalle osapuolelle henkilötietojen poistamiseksi asetuksen (EU) 2016/679 17 artiklan mukaisesti;
luottavasta osapuolesta raportoimiseksi toimivaltaiselle kansalliselle tietosuojaviranomaiselle, jos vastaanotettu tietopyyntö on väitetysti lainvastainen tai epäilyttävä;
hyväksyttyjen sähköisten allekirjoitusten tai sähköisten leimojen luomiseksi hyväksyttyjen sähköisten allekirjoitusten tai sähköisten leimojen luontivälineiden avulla;
oltava antamatta sähköisiä attribuuttitodistuksia myöntäville luottamuspalvelun tarjoajille mitään tietoja kyseisten sähköisten todistusten käytöstä;
varmistettava, että luottavat osapuolet voidaan todentaa ja tunnistaa ottamalla käyttöön todentamismekanismeja 5 b artiklan mukaisesti;
täytettävä 8 artiklassa vahvistetut vaatimukset korkean varmuustason osalta, erityisesti siltä osin kuin sitä sovelletaan henkilöllisyyden todistamista ja varmentamista sekä sähköisen tunnistamisen menetelmien hallintaa ja todentamista koskeviin vaatimuksiin;
kun on kyse sähköisistä attribuuttitodistuksista, joissa on sisäänrakennettuja tietojen luovuttamiskäytäntöjä, otettava käyttöön asianmukainen mekanismi, jolla ilmoitetaan käyttäjälle, että kyseisiä sähköisiä attribuuttitodistuksia pyytävällä luottavalla osapuolella tai eurooppalaisen digitaalisen identiteetin lompakon käyttäjällä on lupa tällaisten todistusten käyttöön;
varmistettava, että henkilön tunnistetiedot, jotka ovat saatavilla sähköisen tunnistamisen järjestelmästä, jonka puitteissa eurooppalainen digitaalisen identiteetin lompakko tarjotaan, edustavat yksilöivästi luonnollista henkilöä, oikeushenkilöä taikka luonnollista henkilöä tai oikeushenkilöä edustavaa luonnollista henkilöä ja liittyvät kyseiseen eurooppalaiseen digitaalisen identiteetin lompakkoon;
tarjottava oletusarvoisesti ja maksutta kaikille luonnollisille henkilöille valmiudet allekirjoittamiseen hyväksyttyjen sähköisten allekirjoitusten avulla.
Sen estämättä, mitä ensimmäisen alakohdan g alakohdassa säädetään, jäsenvaltiot voivat säätää oikeasuhteisista toimenpiteistä sen varmistamiseksi, että luonnollisten henkilöiden maksutta tapahtuva hyväksyttyjen sähköisten allekirjoitusten käyttö rajoitetaan muihin kuin ammatillisiin tarkoituksiin.
Jäsenvaltioiden on tarjottava maksutta validointimekanismeja, jotta
varmistetaan, että eurooppalaisten digitaalisen identiteetin lompakkojen aitous ja voimassaolo voidaan tarkistaa;
annetaan käyttäjille mahdollisuus tarkistaa 5 b artiklan mukaisesti rekisteröityjen luottavien osapuolten henkilöllisyyden aitous ja kelpoisuus.
Jäsenvaltioiden on varmistettava, että eurooppalaisen digitaalisen identiteetin lompakon voimassaolo voidaan peruuttaa seuraavissa tilanteissa:
käyttäjän nimenomaisesta pyynnöstä;
eurooppalaisen digitaalisen identiteetin lompakon turvallisuuden vaarannuttua;
käyttäjän kuoltua tai oikeushenkilön toiminnan päätyttyä.
Eurooppalaisen digitaalisen identiteetin lompakon tekniset puitteet
eivät saa johtaa siihen, että sähköisten attribuuttitodistusten tarjoajat tai jokin muu osapuoli pystyy attribuuttitodistuksen myöntämisen jälkeen saamaan tietoja, joiden avulla voidaan seurata, yhdistellä tai korreloida transaktioita tai käyttäjän käyttäytymistä, taikka muulla tavoin saamaan tietoja näistä, ellei käyttäjä ole antanut siihen nimenomaista lupaa;
mahdollistavat yksityisyyttä suojaavat tekniikat sen varmistamiseksi, ettei tietoja yhdistellä, jos attribuuttitodistus ei edellytä käyttäjän tunnistamista.
Jäsenvaltioiden on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot:
elin, joka vastaa eurooppalaisia digitaalisen identiteetin lompakoita käyttävien rekisteröityjen luottavien osapuolten luettelon laatimisesta ja ylläpitämisestä 5 b artiklan 5 kohdan mukaisesti, sekä kyseisen luettelon sijainti;
elimet, jotka vastaavat eurooppalaisten digitaalisen identiteetin lompakoiden tarjoamisesta 5 a artiklan 1 kohdan mukaisesti;
elimet, jotka ovat vastuussa sen varmistamisesta, että henkilön tunnistetiedot liitetään eurooppalaiseen digitaalisen identiteetin lompakkoon 5 a artiklan 5 kohdan f alakohdan mukaisesti;
mekanismi, joka mahdollistaa 5 a artiklan 5 kohdan f alakohdassa tarkoitettujen henkilöiden tunnistetietojen ja luottavien osapuolten henkilöllisyyden validoinnin;
mekanismi, jolla validoidaan eurooppalaisten digitaalisen identiteetin lompakkojen aitous ja voimassaolo.
Komissio asettaa ensimmäisen alakohdan mukaisesti ilmoitetut tiedot suojatusti julkisesti saataville sähköisesti allekirjoitetussa tai leimatussa muodossa, joka soveltuu automaattiseen käsittelyyn.
5 b artikla
Eurooppalaisen digitaalisen identiteetin lompakon luottavat osapuolet
Rekisteröintimenettelyn on oltava kustannustehokas ja oikeassa suhteessa riskiin. Luottavan osapuolen on toimitettava vähintään
tiedot, joita tarvitaan todentautumiseksi eurooppalaisiin digitaalisen identiteetin lompakoihin ja joita ovat vähintään
jäsenvaltio, johon luottava osapuoli on sijoittautunut; ja
luottavan osapuolen nimi ja tapauksen mukaan rekisterinumero virallisessa rekisterissä olevassa muodossa sekä kyseisen virallisen rekisterin tunnistetiedot;
luottavan osapuolen yhteystiedot;
eurooppalaisten digitaalisen identiteetin lompakoiden käyttötarkoitus, mukaan lukien ilmoitus tiedoista, joita luottava osapuoli pyytää käyttäjiltä.
5 c artikla
Eurooppalaisten digitaalisen identiteetin lompakoiden sertifiointi
5 d artikla
Sertifioitujen eurooppalaisten digitaalisen identiteetin lompakoiden luettelon julkaiseminen
Sanotun kuitenkaan rajoittamatta 5 a artiklan 18 kohdan soveltamista, tämän artiklan 1 kohdassa tarkoitettuihin jäsenvaltioiden toimittamiin tietoihin on sisällyttävä vähintään
sertifioidun eurooppalaisen digitaalisen identiteetin lompakon sertifikaatti ja sertifioinnin arviointiraportti;
kuvaus sähköisen tunnistamisen järjestelmästä, jonka puitteissa eurooppalainen digitaalisen identiteetin lompakko tarjotaan;
sovellettava valvontajärjestelmä ja tiedot vastuujärjestelmästä sen osapuolen osalta, joka vastaa eurooppalaisen digitaalisen identiteetin lompakon tarjoamisesta;
sähköisen tunnistamisen järjestelmästä vastaava viranomainen tai vastaavat viranomaiset;
keskeyttämis- tai peruuttamisjärjestelyt, kun on kyse sähköisen tunnistamisen järjestelmästä tai todentamisesta taikka asianomaisista osista, joiden turvallisuus on vaarantunut.
5 e artikla
Eurooppalaisten digitaalisen identiteetin lompakoiden tietoturvaloukkaus
Jos se on perusteltua ensimmäisessä alakohdassa tarkoitetun tietoturvaloukkauksen tai vaarantumisen vakavuuden vuoksi, jäsenvaltion on ilman aiheetonta viivytystä poistettava kyseiset eurooppalaiset digitaalisen identiteetin lompakot käytöstä.
Jäsenvaltion on ilmoitettava asiasta asianomaisille käyttäjille, 46 c artiklan 1 kohdan mukaisesti nimetyille keskitetyille yhteyspisteille, luottaville osapuolille ja komissiolle.
5 f artikla
Eurooppalaisten digitaalisen identiteetin lompakoiden rajatylittävä käyttö
2 JAKSO
Sähköisen tunnistamisen järjestelmät
6 artikla
Vastavuoroinen tunnustaminen
Kun julkisen sektorin elimen yhdessä jäsenvaltiossa tarjoaman verkkopalvelun käyttö edellyttää kansallisen oikeuden nojalla tai kansallisessa hallinnollisessa käytännössä sähköistä tunnistamista sähköisen tunnistamisen menetelmän ja todentamisen avulla, toisessa jäsenvaltiossa myönnetyt verkkopalvelujen käyttöön tarvittavat sähköisen tunnistamisen menetelmät on tunnustettava ensimmäisessä jäsenvaltiossa kyseisen verkkopalvelun osalta rajat ylittävää todentamista varten edellyttäen, että seuraavat ehdot täyttyvät:
sähköisen tunnistamisen menetelmä on myönnetty komission 9 artiklan mukaisesti julkaisemaan luetteloon sisältyvän sähköisen tunnistamisen järjestelmän puitteissa;
sähköisen tunnistamisen menetelmän varmuustaso vastaa varmuustasoa, joka on yhtä korkea tai korkeampi kuin asianomaisen julkisen sektorin elimen edellyttämä varmuustaso kyseiseen verkkopalveluun pääsemiseksi ensimmäisessä jäsenvaltiossa, edellyttäen, että kyseisen sähköisen tunnistamisen menetelmän varmuustaso vastaa korotettua tai korkeaa varmuustasoa;
asianomainen julkisen sektorin elin soveltaa korotettua tai korkeaa varmuustasoa kyseisen verkkopalvelun käytön osalta.
Tällaisen tunnustamisen on toteuduttava viimeistään 12 kuukauden kuluttua siitä, kun komissio julkaisee ensimmäisen alakohdan a alakohdassa tarkoitetun luettelon.
7 artikla
Edellytykset sähköisen tunnistamisen järjestelmien ilmoittamiselle
Sähköisen tunnistamisen järjestelmä voidaan ilmoittaa 9 artiklan 1 kohdan mukaisesti, edellyttäen että kaikki seuraavat ehdot täyttyvät:
sähköisen tunnistamisen järjestelmän mukaiset sähköisen tunnistamisen menetelmät on myönnetty:
ilmoittavan jäsenvaltion toimesta;
ilmoittavan jäsenvaltion toimeksiannosta; tai
ilmoittavasta jäsenvaltiosta riippumatta niin, että kyseinen jäsenvaltio tunnustaa ne;
sähköisen tunnistamisen järjestelmän mukaista sähköisen tunnistamisen menetelmää voidaan käyttää pääsemiseksi ainakin yhteen sellaiseen palveluun, jonka julkisen sektorin elin tarjoaa ja joka edellyttää ilmoittavassa jäsenvaltiossa sähköistä tunnistamista;
sähköisen tunnistamisen järjestelmä ja sen puitteissa myönnetty sähköisen tunnistamisen menetelmä täyttävät 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädetyistä varmuustasoista ainakin yhden vaatimukset;
ilmoittava jäsenvaltio varmistaa, että kyseistä henkilöä vastaavat yksilöivät tunnistetiedot on liitetty 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti 3 artiklan 1 kohdassa tarkoitettuun luonnolliseen henkilöön tai oikeushenkilöön kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntämisen ajankohtana;
kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntävä osapuoli varmistaa, että sähköisen tunnistamisen menetelmä on liitetty tämän artiklan d alakohdassa tarkoitettuun henkilöön 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti;
ilmoittava jäsenvaltio varmistaa, että todentaminen verkossa on mahdollista niin, että mikä tahansa toisen jäsenvaltion alueelle sijoittautunut luottava osapuoli kykenee vahvistamaan sähköisessä muodossa vastaanotetut henkilön tunnistetiedot.
Ilmoittava jäsenvaltio voi muiden luottavien osapuolten kuin julkisen sektorin elinten osalta määrittää kyseisen todentamisen käyttöehdot. Rajat ylittävä todentaminen on tarjottava veloituksetta, kun se suoritetaan julkisen sektorin elimen tarjoaman verkkopalvelun yhteydessä.
Jäsenvaltiot eivät saa asettaa tällaista todentamismahdollisuutta hyödyntäville luottaville osapuolille minkäänlaisia suhteettomia teknisiä erityisvaatimuksia, jos tällaiset vaatimukset estävät tai merkittävästi haittaavat ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuutta;
ilmoittava jäsenvaltio toimittaa vähintään kuusi kuukautta ennen 9 artiklan 1 kohdan mukaista ilmoittamista muille jäsenvaltioille 12 artiklan 5 kohdan soveltamiseksi kuvauksen kyseisestä järjestelmästä niiden menettelytapojen mukaisesti, jotka vahvistetaan 12 artiklan 6 kohdan mukaisesti annetuissa täytäntöönpanosäädöksissä;
sähköisen tunnistamisen järjestelmä täyttää 12 artiklan 8 kohdassa tarkoitetun täytäntöönpanosäädöksen vaatimukset.
8 artikla
Sähköisen tunnistamisen järjestelmien varmuustasot
Matalan, korotetun ja korkean varmuustason on oltava seuraavien kriteerien mukaisia:
matala varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa rajallisen luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää henkilöllisyyden väärinkäytön tai muuttamisen riskiä;
korotettu varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa merkittävän luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää merkittävässä määrin henkilöllisyyden väärinkäytön tai muuttamisen riskiä;
korkea varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa korkeamman luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta kuin korotetun varmuustason omaava sähköisen tunnistamisen menetelmä ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on estää henkilöllisyyden väärinkäyttö tai muuttaminen.
Nämä tekniset vähimmäiseritelmät, -standardit ja -menettelyt laaditaan ottaen huomioon seuraavien osatekijöiden luotettavuus ja laatu:
menettely sellaisten luonnollisten henkilöiden ja oikeushenkilöiden henkilöllisyyden todistamiseksi ja todentamiseksi, jotka hakevat sähköisen tunnistamisen menetelmien myöntämistä;
myöntämismenettely haetuille sähköisen tunnistamisen menetelmille;
todentamismekanismi, jolla luonnollinen henkilö tai oikeushenkilö käyttää sähköisen tunnistamisen menetelmää vahvistaakseen henkilöllisyytensä luottavalle osapuolelle;
toimija, joka myöntää sähköisen tunnistamisen menetelmiä;
muu elin, joka osallistuu hakemukseen sähköisen tunnistamisen menetelmien myöntämiseksi; ja
myönnettyjen sähköisen tunnistamisen menetelmien tekniset eritelmät ja turvaominaisuudet.
Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
9 artikla
Ilmoittaminen
Ilmoittavan jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset:
kuvaus sähköisen tunnistamisen järjestelmästä, mukaan lukien sen varmuustasot ja järjestelmän mukaisten sähköisen tunnistamisen menetelmien myöntäjä tai myöntäjät;
sovellettava valvontajärjestelmä ja tiedot vastuuta koskevasta järjestelmästä seuraavien osalta:
sähköisen tunnistamisen menetelmän myöntävä osapuoli; ja
todentamismenettelyä operoiva osapuoli;
sähköisen tunnistamisen järjestelmästä vastaava viranomainen tai vastaavat viranomaiset;
tiedot siitä, mikä taho tai mitkä tahot hallinnoivat yksilöivien henkilön tunnistetietojen rekisteröintiä;
kuvaus siitä, miten 12 artiklan 8 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä säädetyt vaatimukset on täytetty;
kuvaus 7 artiklan f alakohdassa tarkoitetusta todentamisesta;
järjestelyt joko ilmoitetun sähköisen tunnistamisen järjestelmän tai todentamisen tai niiden osien, joiden turvallisuus on vaarantunut, keskeyttämistä tai peruuttamista varten.
10 artikla
Sähköisen tunnistamisen järjestelmien tietoturvaloukkaus
Komissio julkaisee Euroopan unionin virallisessa lehdessä vastaavat tarkistukset 9 artiklan 2 kohdassa tarkoitettuun luetteloon ilman aiheetonta viivytystä.
11 artikla
Vastuu
11 a artikla
Rajatylittävä henkilöllisyyden linkittäminen
12 artikla
Interoperability
Yhteentoimivuusjärjestelmän on täytettävä seuraavat kriteerit:
se pyrkii olemaan teknologianeutraali ja eikä syrji mitään kansallisia sähköisen tunnistamisen teknisiä erityisratkaisuja jäsenvaltiossa;
se noudattaa eurooppalaisia ja kansainvälisiä standardeja, kun se on mahdollista;
sillä helpotetaan sisäänrakennetun yksityisyyden suojan ja tietoturvan soveltamista;
▼M1 —————
Yhteentoimivuusjärjestelmän on muodostuttava:
viittauksesta teknisiin vähimmäisvaatimuksiin, jotka liittyvät 8 artiklan mukaisiin varmuustasoihin;
ilmoitettujen sähköisen tunnistamisen järjestelmien kansallisten varmuustasojen kartoittamisesta suhteessa 8 artiklan mukaisiin varmuustasoihin;
viittauksesta yhteentoimivuutta koskeviin teknisiin vähimmäisvaatimuksiin;
viittauksesta henkilön tunnistetietojen vähimmäismäärään, jota tarvitaan tunnistamaan yksilöivästi luonnollinen henkilö tai oikeushenkilö taikka sellainen luonnollinen henkilö, joka edustaa toista luonnollista henkilöä tai oikeushenkilöä, ja joka on saatavilla sähköisen tunnistamisen järjestelmistä;
työjärjestyksestä;
riidanratkaisujärjestelyistä; ja
yhteisistä toiminnan turvallisuutta koskevista standardeista.
▼M1 —————
12 a artikla
Sähköisen tunnistamisen järjestelmien sertifiointi
12 b artikla
Pääsy laitteisto- ja ohjelmisto-ominaisuuksiin
Jos eurooppalaisten digitaalisen identiteetin lompakoiden tarjoajat ja ilmoitettujen sähköisen tunnistamisen menetelmien myöntäjät, jotka toimivat kaupallisessa tai ammatillisessa ominaisuudessa ja käyttävät Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/1925 ( 7 ) 2 artiklan 2 kohdassa määriteltyjä ydinalustapalveluja eurooppalaisen digitaalisen identiteetin lompakon palvelujen ja sähköisen tunnistamisen menetelmien loppukäyttäjille tarjoamista varten tai tarjoamisen aikana, ovat mainitun asetuksen 2 artiklan 21 kohdan mukaisia yrityskäyttäjiä, portinvartijoiden on erityisesti mahdollistettava niiden tehokas yhteentoimivuus saman käyttöjärjestelmän tai laitteisto- tai ohjelmisto-ominaisuuksien kanssa ja pääsy niihin yhteentoimivuuden varmistamiseksi. Tällainen tehokas yhteentoimivuus ja pääsy on sallittava maksutta riippumatta siitä, ovatko laitteisto- tai ohjelmisto-ominaisuudet osa käyttöjärjestelmää, sellaisena kuin ne ovat kyseisen portinvartijan saatavilla tai sellaisena kuin se niitä käyttää tarjotessaan tällaisia palveluja asetuksen (EU) 2022/1925 6 artiklan 7 kohdassa tarkoitetulla tavalla. Tämä artikla ei rajoita tämän asetuksen 5 a artiklan 14 kohdan soveltamista.
III
LUKU
LUOTTAMUSPALVELUT
1
JAKSO
Yleiset säännökset
13 artikla
Vastuu ja todistustaakka
Ei-hyväksytyn luottamuspalvelujen tarjoajan tahallisuutta tai tuottamuksellisuutta koskeva todistustaakka on luonnollisella henkilöllä tai oikeushenkilöllä, joka hakee korvausta ensimmäisessä alakohdassa tarkoitetusta vahingosta.
Hyväksytyn luottamuspalvelun tarjoajan oletetaan ensimmäisessä alakohdassa tarkoitetun vahingon osalta toimineen tahallaan tai tuottamuksesta, ellei kyseinen hyväksytty luottamuspalvelun tarjoaja toisin osoita.
14 artikla
Kansainväliset näkökohdat
Ensimmäisessä alakohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
15 artikla
Esteettömyys vammaisten ja erityistarpeisten henkilöiden näkökulmasta
Sähköisen tunnistamisen menetelmät, luottamuspalvelut ja loppukäyttäjätuotteet, joita käytetään kyseisten palvelujen tarjoamisessa, on tarjottava saataville selkeällä ja ymmärrettävällä kielellä vammaisten henkilöiden oikeuksia koskevan Yhdistyneiden kansakuntien yleissopimuksen ja direktiivin (EU) 2019/882 esteettömyysvaatimusten mukaisesti, mikä hyödyttää myös toimintarajoitteisia henkilöitä, kuten ikääntyneitä henkilöitä, ja henkilöitä, joilla on rajalliset mahdollisuudet käyttää digitaaliteknologiaa.
16 artikla
Seuraamukset
Jäsenvaltioiden on varmistettava, että jos hyväksytyt ja ei-hyväksytyt luottamuspalvelun tarjoajat rikkovat tätä asetusta, niille määrätään hallinnollinen sakko, jonka enimmäismäärä on vähintään
5 000 000 euroa, jos luottamuspalvelun tarjoaja on luonnollinen henkilö; tai
5 000 000 euroa tai yksi prosentti sen yrityksen maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta, johon luottamuspalvelun tarjoaja kuului rikkomisvuotta edeltävänä tilikautena, sen mukaan, kumpi näistä määristä on suurempi, jos luottamuspalvelun tarjoaja on oikeushenkilö.
2
JAKSO
Ei-hyväksytyt luottamuspalvelut
▼M1 —————
19 artikla
Luottamuspalvelun tarjoajiin sovellettavat tietoturvavaatimukset
Jos on todennäköistä, että tietoturvaloukkaus tai eheyden menetys vaikuttaa haitallisesti luonnolliseen henkilöön tai oikeushenkilöön, jolle luottamuspalvelu on tarjottu, luottamuspalvelun tarjoajan on myös tiedotettava luonnolliselle henkilölle tai oikeushenkilölle tietoturvaloukkauksesta tai eheyden menetyksestä ilman aiheetonta viivytystä.
Tarvittaessa ja erityisesti silloin, kun tietoturvaloukkaus tai eheyden menetys koskee kahta tai useampaa jäsenvaltiota, ilmoitetun valvontaelimen on tiedotettava asiasta muiden asianomaisten jäsenvaltioiden valvontaelimille ja ENISAlle.
Ilmoitetun valvontaelimen on tiedotettava asiasta yleisölle tai vaadittava luottamuspalvelun tarjoajaa tiedottamaan siitä, jos se katsoo, että tietoturvaloukkauksen tai eheyden menetyksen julkistaminen on yleisen edun mukaista.
Komissio voi täytäntöönpanosäädöksillä:
määrittää 1 kohdassa tarkoitetut toimenpiteet tarkemmin; ja
määritellä 2 kohdan soveltamiseen liittyvät muotoseikat ja menettelyt, mukaan lukien määräajat.
Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
19 a artikla
Ei-hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset
Ei-hyväksyttyjä luottamuspalveluja tarjoavan ei-hyväksytyn luottamuspalvelun tarjoajan on
noudatettava asianmukaisia toimintaperiaatteita ja toteutettava ei-hyväksyttyjen luottamuspalvelujen tarjoamiseen kohdistuvien oikeudellisten, liiketoiminnallisten, operatiivisten ja muiden suorien tai välillisten riskien hallitsemiseksi vastaavat toimenpiteet, joihin on sen estämättä, mitä direktiivin (EU) 2022/2555 21 artiklassa säädetään, sisällyttävä vähintään seuraavia koskevat toimenpiteet:
luottamuspalveluun rekisteröityminen ja käyttösuhteen aloittamismenettelyt;
luottamuspalvelujen tarjoamiseen tarvittavat menettelylliset tai hallinnolliset tarkastukset;
luottamuspalvelujen hallinnointi ja toteuttaminen;
ilmoitettava valvontaelimelle, tunnistettavissa oleville asianomaisille henkilöille, yleisölle, jos se on yleisen edun mukaista, ja tarvittaessa muille asiaankuuluville toimivaltaisille viranomaisille ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 24 tunnin kuluttua siitä, kun ne ovat tulleet asiasta tietoisiksi, kaikista tietoturvaloukkauksista tai palvelujen tarjoamisen tai a alakohdan i, ii ja iii alakohdassa tarkoitettujen toimenpiteiden häiriöistä, joilla on merkittävä vaikutus tarjottuun luottamuspalveluun tai siinä säilytettyihin henkilötietoihin.
3
JAKSO
Hyväksytyt luottamuspalvelut
20 artikla
Hyväksyttyjen luottamuspalvelun tarjoajien valvonta
Jos kyseinen palveluntarjoaja ei korjaa asiaa tai tapauksen mukaan ei tee sitä valvontaelimen asettamassa määräajassa, valvontaelimen on, kun se on perusteltua erityisesti laiminlyönnin laajuuden, keston ja seurausten perusteella, peruttava kyseisen palveluntarjoajan tai sen tarjoaman kyseessä olevan palvelun hyväksytty asema.
Komissio vahvistaa viimeistään 21 päivänä toukokuuta 2025 täytäntöönpanosäädöksin luettelon viitestandardeista ja tarvittaessa eritelmät ja menettelyt seuraavia varten:
1 kohdassa tarkoitettu vaatimustenmukaisuuden arviointilaitosten akkreditointi ja vaatimustenmukaisuuden arviointikertomus;
tarkastusvaatimukset, joiden mukaisesti vaatimustenmukaisuuden arviointilaitokset suorittavat 1 kohdassa tarkoitetun hyväksyttyjen luottamuspalvelun tarjoajien vaatimustenmukaisuuden arvioinnin, mukaan lukien yhdistetyn arvioinnin;
vaatimustenmukaisuuden arviointijärjestelmät, joiden mukaisesti vaatimustenmukaisuuden arviointilaitokset suorittavat hyväksyttyjen luottamuspalvelujen tarjoajien vaatimustenmukaisuuden arvioinnin ja antavat 1 kohdassa tarkoitetun raportin.
Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
21 artikla
Hyväksytyn luottamuspalvelun aloittaminen
Sen tarkastamiseksi, että luottamuspalvelun tarjoaja noudattaa direktiivin (EU) 2022/2555 21 artiklassa säädettyjä vaatimuksia, valvontaelimen on pyydettävä kyseisen direktiivin 8 artiklan 1 kohdan nojalla nimettyjä tai perustettuja toimivaltaisia viranomaisia toteuttamaan tältä osin valvontatoimia ja toimittamaan tiedot toimien tuloksista ilman aiheetonta viivytystä ja joka tapauksessa kahden kuukauden kuluessa pyynnön vastaanottamisesta. Jos tarkastusta ei saada päätökseen kahden kuukauden kuluessa ilmoituksesta, kyseisten toimivaltaisten viranomaisten on ilmoitettava asiasta valvontaelimelle ja yksilöitävä viivästyksen syyt ja ajanjakso, jonka aikana tarkastus on määrä saada päätökseen.
Jos valvontaelin katsoo, että luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset, valvontaelimen on myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava asiasta 22 artiklan 3 kohdassa tarkoitetulle elimelle 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten viimeistään kolmen kuukauden kuluttua tämän artiklan 1 kohdan mukaisesta ilmoituksesta.
Jos tarkastusta ei saada päätökseen kolmen kuukauden kuluessa ilmoituksesta, valvontaelimen on ilmoitettava asiasta luottamuspalvelun tarjoajalle ja yksilöitävä viivästyksen syyt ja ajanjakso, jonka aikana tarkastus on määrä saada päätökseen.
22 artikla
Luotetut luettelot
23 artikla
Hyväksyttyjä luottamuspalveluja koskeva EU:n luotettavuusmerkki
24 artikla
Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset
Hyväksytyn luottamuspalvelun tarjoajan on tarkastettava 1 kohdassa tarkoitettu henkilöllisyys asianmukaisin keinoin joko suoraan tai kolmannen osapuolen avulla perustuen tarvittaessa johonkin seuraavista menetelmistä tai niiden yhdistelmään 1 c kohdassa tarkoitettujen täytäntöönpanosäädösten mukaisesti:
käyttäen eurooppalaista digitaalisen identiteetin lompakkoa tai ilmoitettua sähköisen tunnistamisen menetelmää, joka täyttää 8 artiklassa säädetyt korkeaa varmuustasoa koskevat vaatimukset;
käyttäen a, c tai d alakohdan mukaisesti myönnettyä hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman varmennetta;
käyttäen muita tunnistamismenetelmiä, jotka takaavat henkilön tunnistamisen korkealla luottamustasolla ja joiden vaatimustenmukaisuuden vahvistaa vaatimustenmukaisuuden arviointilaitos;
luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan fyysisellä läsnäololla, käyttäen asianmukaisia todisteita ja menettelyjä kansallisen lainsäädännön mukaisesti.
Hyväksytyn luottamuspalvelun tarjoajan on tarkastettava 1 alakohdassa tarkoitetut attribuutit asianmukaisin keinoin joko suoraan tai kolmannen osapuolen avulla perustuen johonkin seuraavista menetelmistä tai tarvittaessa niiden yhdistelmään 1 c kohdassa tarkoitettujen täytäntöönpanosäädösten mukaisesti:
käyttäen eurooppalaista digitaalisen identiteetin lompakkoa tai ilmoitettua sähköisen tunnistamisen menetelmää, joka täyttää 8 artiklassa säädetyt korkeaa varmuustasoa koskevat vaatimukset;
käyttäen 1 a kohdan a, c tai d alakohdan mukaisesti myönnettyä hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman varmennetta;
käyttäen hyväksyttyä sähköistä attribuuttitodistusta;
käyttäen muita menetelmiä, jotka takaavat attribuuttien todentamisen korkealla luottamustasolla ja joiden vaatimustenmukaisuuden vahvistaa vaatimustenmukaisuuden arviointilaitos;
luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan fyysisen läsnäolon avulla, käyttäen asianmukaisia todisteita ja menettelyjä kansallisen lainsäädännön mukaisesti.
Hyväksyttyjä luottamuspalveluja tarjoavan hyväksytyn luottamuspalvelun tarjoajan on
ilmoitettava valvontaelimelle vähintään kuukautta aikaisemmin, ennen kuin se toteuttaa muutoksia hyväksyttyjen luottamuspalvelujensa tarjoamiseen, tai vähintään kolme kuukautta aikaisemmin, jos tarkoituksena on lopettaa kyseinen toiminta;
palkattava henkilöstöä ja tarvittaessa alihankkijoita, joilla on tarvittava asiantuntemus, luotettavuus, kokemus ja pätevyys ja jotka ovat saaneet tarvittavaa koulutusta tietoturvaa ja henkilötietojen suojaa koskevista säännöistä, ja noudatettava eurooppalaisia tai kansainvälisiä standardeja vastaavia hallinnollisia menettelyjä ja johtamismenettelyjä;
ylläpidettävä 13 artiklan mukaisen vahinkovastuun riskin suhteen riittäviä taloudellisia varoja ja/tai hankittava asianmukainen vastuuvakuutus kansallisen lain mukaisesti;
ilmoitettava ennen sopimussuhteen aloittamista julkisesti käytettävissä olevassa tilassa ja henkilökohtaisesti henkilöille, jotka haluavat käyttää hyväksyttyä luottamuspalvelua, selkeästi, kattavasti ja helposti saatavilla olevassa muodossa kyseisen palvelun käytön tarkoista ehdoista ja edellytyksistä, muun muassa sen käyttöä koskevista rajoituksista;
käytettävä luotettavia järjestelmiä ja tuotteita, jotka on suojattu muutoksilta ja joilla varmistetaan niiden tukemien prosessien tekninen tietoturva ja luotettavuus, mukaan lukien soveltuvien salaustekniikoiden käyttö;
käytettävä luotettavia järjestelmiä sille annettujen tietojen tallentamiseen tarkastettavissa olevassa muodossa siten, että
tiedot ovat julkisesti haettavissa vain, jos siihen on saatu tietojen kohteena olevan henkilön suostumus,
ainoastaan valtuutetut henkilöt voivat syöttää tietoja ja tehdä muutoksia tallennettuihin tietoihin,
tietojen aitous voidaan tarkastaa;
sen estämättä, mitä direktiivin (EU) 2022/2555 21 artiklassa säädetään, noudatettava asianmukaisia toimintaperiaatteita ja toteutettava vastaavat toimenpiteet hyväksyttyjen luottamuspalvelujen tarjoamiseen kohdistuvien oikeudellisten, liiketoiminnallisten, operatiivisten ja muiden suorien tai välillisten riskien hallitsemiseksi, mukaan lukien vähintään seuraavia koskevat toimenpiteet:
palveluun rekisteröityminen ja käyttösuhteen aloittamismenettelyt;
menettelylliset tai hallinnolliset tarkastukset;
palvelujen hallinnointi ja toteuttaminen;
ilmoitettava valvontaelimelle, tunnistettavissa oleville asianomaisille henkilöille, tarvittaessa muille asiaankuuluville toimivaltaisille elimille sekä valvontaelimen pyynnöstä yleisölle, jos se on yleisen edun mukaista, ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 24 tunnin kuluttua poikkeamasta palvelujen tarjoamisessa tai f a alakohdan i, ii tai iii alakohdassa tarkoitettujen toimenpiteiden toteuttamisessa havaituista tietoturvaloukkauksista tai häiriöistä, joilla on merkittävä vaikutus tarjottuun luottamuspalveluun tai siinä säilytettyihin henkilötietoihin;
toteutettava tarkoituksenmukaisia toimenpiteitä tietojen väärentämisen, varastamisen tai väärinkäytön tai niiden oikeudettoman tuhoamisen, muuttamisen tai käyttökelvottamaksi tekemisen estämiseksi;
arkistoitava ja pidettävä saatavilla niin kauan kuin tarpeellista sen jälkeen, kun hyväksytyn luottamuspalvelun tarjoajan toiminta on lakannut, kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista, jotta niitä voidaan käyttää todisteena oikeudellisissa käsittelyissä ja jotta voidaan varmistaa palvelun jatkuvuus. Tällaisia arkistoja voidaan ylläpitää sähköisessä muodossa;
ylläpidettävä ajan tasalla olevaa toiminnan lopettamissuunnitelmaa, jotta voidaan varmistaa palvelun jatkuvuus valvontaelimen 46 b artiklan 4 kohdan i alakohdan nojalla tarkastamien säännösten mukaisesti;
▼M1 —————
kun kyse on hyväksyttyjä varmenteita myöntävistä hyväksytyistä luottamuspalvelun tarjoajista, perustettava varmennetietokanta ja pidettävä se ajan tasalla.
Valvontaelin voi pyytää lisätietoja ensimmäisen kohdan a alakohdan nojalla ilmoitettujen tietojen lisäksi tai vaatimustenmukaisuuden arvioinnin tuloksen, ja se voi asettaa luvan myöntämisen ehdoksi, että suunnitellut muutokset hyväksyttyihin luottamuspalveluihin toteutetaan. Jos tarkastusta ei saada päätökseen kolmen kuukauden kuluessa ilmoituksesta, valvontaelimen on ilmoitettava asiasta luottamuspalvelun tarjoajalle ja yksilöitävä viivästyksen syyt ja ajanjakso, jonka aikana tarkastus on määrä saada päätökseen.
24 a artikla
Hyväksyttyjen luottamuspalvelujen tunnustaminen
4
JAKSO
Sähköiset allekirjoitukset
25 artikla
Sähköisten allekirjoitusten oikeusvaikutukset
▼M1 —————
26 artikla
Kehittyneen sähköisen allekirjoituksen vaatimukset
Kehittyneen sähköisen allekirjoituksen on täytettävä seuraavat vaatimukset:
se liittyy yksilöivästi allekirjoittajaansa;
sillä voidaan yksilöidä allekirjoittaja;
se on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan; ja
se on liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita.
27 artikla
Sähköiset allekirjoitukset julkisissa palveluissa
▼M1 —————
28 artikla
Sähköisten allekirjoitusten hyväksytyt varmenteet
Jäsenvaltiot voivat vahvistaa kansallisia sääntöjä sähköisen allekirjoituksen hyväksytyn varmenteen voimassaolon väliaikaisesta keskeyttämisestä seuraavin edellytyksin:
jos sähköisen allekirjoituksen hyväksytyn varmenteen voimassaolo on väliaikaisesti keskeytetty, kyseisen varmenteen voimassaolo päättyy keskeyttämisen ajaksi;
keskeyttämisen kesto on ilmoitettava selvästi varmennetietokannassa ja keskeytystilan on käytävä keskeyttämisen keston ajan näkyvästi ilmi palvelusta, joka tarjoaa tietoja varmenteen tilasta.
29 artikla
Hyväksyttyjä sähköisen allekirjoituksen luontivälineitä koskevat vaatimukset
29 a artikla
Hyväksyttyjen sähköisen allekirjoituksen etäluontivälineiden hallinnoinnin hyväksyttyä palvelua koskevat vaatimukset
Hyväksytyn sähköisen allekirjoituksen etäluontivälineen hallinnoinnista hyväksyttynä palveluna saa vastata ainoastaan hyväksytty luottamuspalvelun tarjoaja, joka
muodostaa tai hallinnoi sähköisen allekirjoituksen luontitietoja allekirjoittajan puolesta;
sen estämättä, mitä liitteessä II olevan 1 kohdan d alakohdassa säädetään, kahdentaa sähköisen allekirjoituksen luontitietoja ainoastaan varmuuskopiointitarkoituksiin edellyttäen, että seuraavat vaatimukset täyttyvät:
kahdennettujen tietokokonaisuuksien tietoturvan on oltava samalla tasolla kuin alkuperäisten tietokokonaisuuksien;
kahdennettujen tietokokonaisuuksien määrä ei saa ylittää vähimmäismäärää, joka on tarpeen palvelun jatkuvuuden varmistamiseksi;
täyttää kaikki 30 artiklan nojalla annetussa yksittäisen hyväksytyn sähköisen allekirjoituksen etäluontivälineen sertifiointiraportissa määritetyt vaatimukset.
30 artikla
Hyväksyttyjen sähköisen allekirjoituksen luontivälineiden sertifiointi
Edellä 1 kohdassa tarkoitettu sertifiointi perustuu toiseen seuraavista:
tietoturvan arviointiprosessi, joka on tehty noudattaen jotakin toisen alakohdan mukaisesti vahvistettuun luetteloon sisältyvää tietoteknisten tuotteiden tietoturva-arviointia koskevaa standardia; tai
muu kuin a alakohdassa tarkoitettu prosessi, edellyttäen että siinä käytetään vertailukelpoisia tietoturvatasoja ja että 1 kohdassa tarkoitettu julkinen tai yksityinen taho ilmoittaa menettelystä komissiolle. Tätä prosessia voidaan käyttää ainoastaan, jos a alakohdassa tarkoitetut standardit puuttuvat tai jos a alakohdassa tarkoitetun tietoturvan arviointiprosessin suorittaminen on kesken.
Komissio vahvistaa täytäntöönpanosäädöksillä luettelon a alakohdassa tarkoitettua tietoteknisten tuotteiden tietoturva-arviointia koskevista standardeista. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
31 artikla
Sertifioitujen hyväksyttyjen sähköisen allekirjoituksen luontivälineiden luettelon julkaiseminen
32 artikla
Hyväksyttyjen sähköisten allekirjoitusten validointia koskevat vaatimukset
Hyväksytyn sähköisen allekirjoituksen validointiprosessilla vahvistetaan hyväksytyn sähköisen allekirjoituksen pätevyys, edellyttäen että:
allekirjoitusta tukeva varmenne oli allekirjoitushetkellä liitteen I mukainen hyväksytty sähköisen allekirjoituksen varmenne;
hyväksytyn varmenteen on myöntänyt hyväksytty luottamuspalvelun tarjoaja ja se oli voimassa allekirjoitushetkellä;
allekirjoituksen validointitiedot vastaavat luottavalle osapuolelle annettuja tietoja;
varmenteen allekirjoittajaa edustava yksilöivä tietokokonaisuus on annettu oikein luottavalle osapuolelle;
jos allekirjoitushetkellä on käytetty salanimeä, sen käytöstä on selkeästi ilmoitettu luottavalle osapuolelle;
sähköinen allekirjoitus on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä;
allekirjoitettujen tietojen eheyttä ei ole loukattu;
edellä 26 artiklassa säädetyt vaatimukset täyttyivät allekirjoitushetkellä.
Jos hyväksyttyjen sähköisten allekirjoitusten validointi noudattaa 3 kohdassa tarkoitettuja standardeja, eritelmiä ja menettelyjä, sen katsotaan olevan tämän kohdan ensimmäisessä alakohdassa säädettyjen vaatimusten mukainen.
32 a artikla
Hyväksyttyihin varmenteisiin perustuvien kehittyneiden sähköisten allekirjoitusten validointia koskevat vaatimukset
Hyväksyttyyn varmenteeseen perustuvan kehittyneen sähköisen allekirjoituksen validointiprosessilla vahvistetaan hyväksyttyyn varmenteeseen perustuvan kehittyneen sähköisen allekirjoituksen pätevyys, edellyttäen että:
allekirjoitusta tukeva varmenne oli allekirjoitushetkellä liitteen I mukainen hyväksytty sähköisen allekirjoituksen varmenne;
hyväksytyn varmenteen on myöntänyt hyväksytty luottamuspalvelun tarjoaja ja se oli voimassa allekirjoitushetkellä;
allekirjoituksen validointitiedot vastaavat luottavalle osapuolelle annettuja tietoja;
varmenteen allekirjoittajaa edustava yksilöivä tietokokonaisuus on annettu oikein luottavalle osapuolelle;
jos allekirjoitushetkellä on käytetty pseudonyymiä, sen käytöstä on selkeästi ilmoitettu luottavalle osapuolelle;
allekirjoitettujen tietojen eheyttä ei ole loukattu;
26 artiklassa säädetyt vaatimukset täyttyivät allekirjoitushetkellä.
33 artikla
Hyväksyttyjen sähköisten allekirjoitusten hyväksytty validointipalvelu
Hyväksyttyjen sähköisten allekirjoitusten hyväksyttyä validointipalvelua voi tarjota ainoastaan hyväksytty luottamuspalvelun tarjoaja, joka:
tarjoaa validointia 32 artiklan 1 kohdan mukaisesti ja
tarjoaa luottaville osapuolille validointiprosessin tuloksen automaattisesti tavalla, joka on luotettava ja tehokas ja joka sisältää hyväksytyn validointipalvelun tarjoajan kehittyneen sähköisen allekirjoituksen tai kehittyneen sähköisen leiman.
34 artikla
Hyväksyttyjen sähköisten allekirjoitusten hyväksytty säilyttämispalvelu
5
JAKSO
Sähköiset leimat
35 artikla
Sähköisten leimojen oikeusvaikutukset
▼M1 —————
36 artikla
Kehittyneitä sähköisiä leimoja koskevat vaatimukset
Kehittyneen sähköisen leiman on täytettävä seuraavat vaatimukset:
se liittyy yksilöivästi leiman luojaan;
sillä voidaan yksilöidä leiman luoja;
se on luotu käyttäen sähköisen leiman luontitietoja, joita leiman luoja voi korkealla varmuustasolla käyttää valvonnassaan sähköisen leiman luomiseen; ja
se on liitetty kohteenaan olevaan tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita.
37 artikla
Sähköiset leimat julkisissa palveluissa
▼M1 —————
38 artikla
Sähköisten leimojen hyväksytyt varmenteet
Jäsenvaltiot voivat vahvistaa kansallisia sääntöjä sähköisten leimojen hyväksyttyjen varmenteiden voimassaolon väliaikaisesta keskeyttämisestä seuraavin edellytyksin:
jos sähköisen leiman hyväksytyn varmenteen voimassaolo on väliaikaisesti keskeytetty, kyseisen varmenteen voimassaolo päättyy keskeyttämisen ajaksi;
keskeyttämisen kesto on ilmoitettava selvästi varmennetietokannassa, ja keskeytystilan on käytävä keskeyttämisen keston ajan näkyvästi ilmi palvelusta, joka tarjoaa tietoja varmenteen tilasta.
39 artikla
Hyväksytyt sähköisen leiman luontivälineet
39 a artikla
Hyväksyttyjen sähköisen leiman etäluontivälineiden hallinnoinnin hyväksyttyä palvelua koskevat vaatimukset
Hyväksyttyjen sähköisen leiman etäluontivälineiden hallinnointiin hyväksyttyyn palveluun sovelletaan soveltuvin osin 29 a artiklaa.
40 artikla
Hyväksyttyjen sähköisten leimojen validointi ja säilyttäminen
Hyväksyttyjen sähköisten leimojen validointiin ja säilyttämiseen sovelletaan soveltuvin osin 32, 33 ja 34 artiklaa.
40 a artikla
Hyväksyttyihin varmenteisiin perustuvien kehittyneiden sähköisten leimojen validointia koskevat vaatimukset
Edellä olevaa 32 a artiklaa sovelletaan soveltuvin osin hyväksyttyihin varmenteisiin perustuvien kehittyneiden sähköisten leimojen validointiin.
6
JAKSO
Sähköiset aikaleimat
41 artikla
Sähköisten aikaleimojen oikeusvaikutukset
▼M1 —————
42 artikla
Hyväksyttyjä sähköisiä aikaleimoja koskevat vaatimukset
Hyväksytyn sähköisen aikaleiman on täytettävä seuraavat vaatimukset:
se sitoo tiedot päivään ja ajankohtaan niin, että voidaan kohtuudella sulkea pois mahdollisuus, että tietoja olisi muutettu huomaamatta;
se perustuu virheettömään aikalähteeseen, joka on liitetty koordinoituun yleisaikaan; ja
se on allekirjoitettu hyväksytyn luottamuspalvelujen tarjoajan kehittyneellä sähköisellä allekirjoituksella tai leimattu tämän kehittyneellä sähköisellä leimalla tai vastaavalla menetelmällä.
7
JAKSO
Sähköiset rekisteröidyt jakelupalvelut
43 artikla
Sähköisen rekisteröidyn jakelupalvelun oikeusvaikutukset
44 artikla
Hyväksyttyjä sähköisiä rekisteröityjä jakelupalveluja koskevat vaatimukset
Hyväksyttyjen sähköisten rekisteröityjen jakelupalvelujen on täytettävä seuraavat vaatimukset:
niitä tarjoaa yksi tai useampi hyväksytty luottamuspalvelun tarjoaja;
niissä varmistetaan korkealla varmuustasolla lähettäjän tunnistaminen;
niissä varmistetaan vastaanottajan tunnistaminen ennen tietojen toimittamista;
tietojen lähettäminen ja vastaanottaminen on suojattu hyväksytyn luottamuspalvelun tarjoajan kehittyneellä sähköisellä allekirjoituksella tai kehittyneellä sähköisellä leimalla niin, että voidaan sulkea pois mahdollisuus, että tietoja olisi muutettu huomaamatta;
kaikki muutokset tietojen lähettämisessä tai vastaanottamisessa tarvittavissa tiedoissa ilmoitetaan selkeästi tietojen lähettäjälle ja vastaanottajalle;
tietojen lähettämisen, vastaanottamisen ja muuttamisen päivämäärä ja ajankohta ilmoitetaan hyväksytyllä sähköisellä aikaleimalla.
Kun tietoja siirretään kahden tai useamman hyväksytyn luottamuspalvelun tarjoajan välillä, a–f alakohdan vaatimuksia sovelletaan kaikkiin näihin palveluntarjoajiin.
8
JAKSO
Verkkosivustojen todentaminen
45 artikla
Verkkosivustojen todentamisen hyväksyttyjä varmenteita koskevat vaatimukset
45 a artikla
Kyberturvallisuutta koskevat varotoimenpiteet
9 JAKSO
Sähköinen attribuuttitodistus
45 b artikla
Sähköisen attribuuttitodistuksen oikeusvaikutukset
45 c artikla
Sähköisen attribuuttitodistuksen käyttö julkisissa palveluissa
Kun julkisen sektorin elimen tarjoaman verkkopalvelun käyttö edellyttää kansallisen oikeuden nojalla sähköistä tunnistamista sähköisen tunnistamisen menetelmän ja todentamisen avulla, sähköiseen attribuuttitodistukseen sisältyvät henkilön tunnistetiedot eivät saa korvata sähköisen tunnistamisen menetelmän ja todentamisen avulla tehtävää sähköistä tunnistamista, ellei jäsenvaltio sitä nimenomaisesti salli. Tällöin on hyväksyttävä myös muissa jäsenvaltioissa myönnetyt hyväksytyt sähköiset attribuuttitodistukset.
45 d artikla
Hyväksyttyjä sähköisiä attribuuttitodistuksia koskevat vaatimukset
45 e artikla
Attribuuttien tarkastaminen virallisista lähteistä
45 f artikla
Virallisesta lähteestä vastaavan julkisen sektorin elimen myöntämää tai sen puolesta myönnettyä sähköistä attribuuttitodistusta koskevat vaatimukset
Virallisesta lähteestä vastaavan julkisen sektorin elimen myöntämän tai sen puolesta myönnetyn sähköisen attribuuttitodistuksen on täytettävä seuraavat vaatimukset:
liitteessä VII vahvistetut vaatimukset;
hyväksytty varmenne, joka tukee liitteessä VII olevassa b alakohdassa tarkoitetuksi myöntäjäksi nimetyn, 3 artiklan 46 alakohdassa tarkoitetun julkisen sektorin elimen hyväksyttyä sähköistä allekirjoitusta tai hyväksyttyä sähköistä leimaa ja joka sisältää tietyt automaattiseen käsittelyyn soveltuvassa muodossa olevat varmennetut attribuutit ja jossa:
ilmoitetaan, että todistuksen myöntävä elin on perustettu unionin oikeuden tai kansallisen lainsäädännön mukaisesti elimeksi, joka on vastuussa siitä virallisesta lähteestä, jonka perusteella sähköinen attribuuttitodistus myönnetään, tai elimeksi, joka on nimetty toimimaan edellisen puolesta;
annetaan tietoja, jotka yksiselitteisesti edustavat i alakohdassa tarkoitettua virallista lähdettä; ja
määritellään i alakohdassa tarkoitettu unionin oikeus tai kansallinen lainsäädäntö.
45 g artikla
Sähköisten attribuuttitodistusten myöntäminen eurooppalaisiin digitaalisen identiteetin lompakoihin
45 h artikla
Sähköisiin attribuuttitodistuksiin liittyvien palvelujen tarjoamista koskevat lisäsäännöt
10 JAKSO
Sähköiset arkistointipalvelut
45 i artikla
Sähköisten arkistointipalvelujen oikeusvaikutukset
45 j artikla
Hyväksyttyjä sähköisiä arkistointipalveluja koskevat vaatimukset
Hyväksyttyjen sähköisten arkistointipalvelujen on täytettävä seuraavat vaatimukset:
niitä tarjoavat hyväksytyt luottamuspalvelun tarjoajat;
ne käyttävät menettelyjä ja teknologioita, joilla voidaan varmistaa sähköisten tietojen ja sähköisten asiakirjojen pysyvyys ja luettavuus teknologista voimassaoloaikaa pidemmälle ja ainakin koko lakisääteisen tai sopimusperusteisen säilytysajan ja säilyttää samalla tietojen eheys ja niiden alkuperän virheettömyys;
ne varmistavat, että kyseiset sähköiset tiedot ja kyseiset sähköiset asiakirjat säilytetään siten, että ne suojataan häviämiseltä ja muuttumiselta, lukuun ottamatta niiden tallennusvälinettä tai sähköistä muotoa koskevia muutoksia;
ne antavat valtuutetuille luottaville osapuolille mahdollisuuden saada automaattisesti ilmoitus, jolla vahvistetaan, että hyväksytystä sähköisestä arkistosta haettaviin sähköisiin tietoihin ja sähköisiin asiakirjoihin sovelletaan olettamaa tietojen eheydestä säilyttämisajan alusta hakuhetkeen asti.
Ensimmäisen alakohdan d alakohdassa tarkoitettu ilmoitus toimitetaan luotettavalla ja tehokkaalla tavalla, ja siinä on hyväksytyn sähköisen arkistointipalvelun tarjoajan hyväksytty sähköinen allekirjoitus tai hyväksytty sähköinen leima.
11 JAKSO
Sähköiset tilikirjat
45 k artikla
Sähköisten tilikirjojen oikeusvaikutukset
45 l artikla
Hyväksyttyjä sähköisiä tilikirjoja koskevat vaatimukset
Hyväksyttyjen sähköisten tilikirjojen on täytettävä seuraavat vaatimukset:
ne luo ja niitä hallinnoi yksi tai useampi hyväksytty luottamuspalvelun tarjoaja;
ne vahvistavat tilikirjassa olevien tietueiden alkuperän;
ne varmistavat tilikirjan tietueiden yksilöllisen peräkkäisen kronologisen järjestyksen;
ne tallentavat tiedot siten, että tietojen mahdollinen myöhempi muuttaminen voidaan havaita välittömästi, mikä varmistaa tietojen eheyden pitkällä aikavälillä.
IV
LUKU
SÄHKÖISET ASIAKIRJAT
46 artikla
Sähköisten asiakirjojen oikeusvaikutukset
Sähköisen asiakirjan oikeusvaikutuksia ja käytettävyyttä todisteena oikeudellisissa menettelyissä ei voida kieltää pelkästään sen takia, että se on sähköisessä muodossa.
IV a LUKU
HALLINTOKEHYS
46 a artikla
Eurooppalaisen digitaalisen identiteetin lompakon kehyksen valvonta
Ensimmäisen alakohdan mukaisesti nimetyille valvontaelimille on annettava tarvittavat valtuudet ja riittävät resurssit suorittaa tehtävänsä tuloksellisesti, tehokkaasti ja riippumattomasti.
Edellä olevan 1 kohdan mukaisesti nimettyjen valvontaelinten rooli on seuraava:
nimeävän jäsenvaltion alueelle sijoittautuneiden eurooppalaisten digitaalisen identiteetin lompakkojen tarjoajien valvonta ja sen varmistaminen ennakkoon ja jälkikäteen toteutettavin valvontatoimin, että nämä tarjoajat ja niiden tarjoamat eurooppalaiset digitaalisen identiteetin lompakot täyttävät tässä asetuksessa säädetyt vaatimukset;
toimien toteuttaminen tarvittaessa nimeävän jäsenvaltion alueelle sijoittautuneiden eurooppalaisten digitaalisen identiteetin lompakkojen tarjoajien suhteen jälkikäteen toteutettavin valvontatoimin, jos sille ilmoitetaan, että tarjoajat tai niiden tarjoamat eurooppalaiset digitaalisen identiteetin lompakot rikkovat tätä asetusta.
Edellä olevan 1 kohdan mukaisesti nimettyjen valvontaelinten tehtäviin kuuluvat erityisesti seuraavat:
yhteistyön tekeminen muiden valvontaelinten kanssa ja tuen antaminen niille 46 c ja 46 e artiklan mukaisesti;
tämän asetuksen noudattamisen seuraamiseksi tarvittavien tietojen pyytäminen;
ilmoittaminen direktiivin (EU) 2022/2555 8 artiklan 1 kohdan mukaisesti nimetyille tai perustetuille asianomaisten jäsenvaltioiden asiaankuuluville toimivaltaisille viranomaisille kaikista merkittävistä tietoturvaloukkauksista tai eheyden menetyksistä, joista ne saavat tiedon tehtäviään suorittaessaan, ja jos merkittävä tietoturvaloukkaus tai eheyden menetys koskee muita jäsenvaltioita, ilmoittaminen asiasta direktiivin (EU) 2022/2555 8 artiklan 3 kohdan mukaisesti nimetylle tai perustetulle asianomaisen jäsenvaltion keskitetylle yhteyspisteelle ja tämän asetuksen 46 c artiklan 1 kohdan mukaisesti nimetyille keskitetyille yhteyspisteille asianomaisissa muissa jäsenvaltioissa sekä tiedottaminen asiasta yleisölle tai sen vaatiminen, että eurooppalaisen digitaalisen identiteetin lompakon tarjoaja tiedottaa siitä, jos valvontaelin katsoo, että tietoturvaloukkauksen tai eheyden menetyksen julkistaminen olisi yleisen edun mukaista;
paikalla tehtävien tarkastusten ja muun kuin paikalla toteutettavan valvonnan suorittaminen;
sen edellyttäminen, että eurooppalaisen digitaalisen identiteetin lompakon tarjoajat korjaavat mahdolliset puutteet tässä asetuksessa säädettyjen vaatimusten täyttämisessä;
luottavien osapuolten rekisteröinnin tai 5 b artiklan 7 kohdassa tarkoitettuun yhteiseen mekanismiin sisällyttämisen keskeyttäminen tai peruuttaminen, jos eurooppalaista digitaalisen identiteetin lompakkoa käytetään laittomasti tai vilpillisesti;
yhteistyön tekeminen asetuksen (EU) 2016/679 51 artiklan nojalla perustettujen toimivaltaisten valvontaviranomaisten kanssa erityisesti ilmoittamalla niille ilman aiheetonta viivytystä, jos henkilötietojen suojaa koskevia sääntöjä näyttää olevan rikottu, sekä tietoturvaloukkauksista, jotka näyttävät olevan henkilötietojen loukkauksia.
46 b artikla
Luottamuspalvelujen valvonta
Ensimmäisen alakohdan mukaisesti nimetyille valvontaelimille on annettava tarvittavat valtuudet ja riittävät resurssit suorittaa tehtävänsä.
Edellä olevan 1 kohdan mukaisesti nimettyjen valvontaelinten rooli on seuraava:
nimeävän jäsenvaltion alueelle sijoittautuneiden hyväksyttyjen luottamuspalvelun tarjoajien valvonta ja sen varmistaminen ennakkoon ja jälkikäteen toteutettavin valvontatoimin, että nämä hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset;
toimien toteuttaminen tarvittaessa nimeävän jäsenvaltion alueelle sijoittautuneiden ei-hyväksyttyjen luottamuspalvelun tarjoajien suhteen jälkikäteen toteutettavin valvontatoimin, jos sille ilmoitetaan, että nämä ei-hyväksytyt luottamuspalvelun tarjoajat tai niiden tarjoamat luottamuspalvelut eivät väitetysti täytä tässä asetuksessa säädettyjä vaatimuksia.
Tämän artiklan 1 kohdan mukaisesti nimetyn valvontaelimen tehtäviin kuuluvat erityisesti seuraavat:
ilmoittaminen direktiivin (EU) 2022/2555 8 artiklan 1 kohdan mukaisesti nimetyille tai perustetuille asianomaisten jäsenvaltioiden asiaankuuluville toimivaltaisille viranomaisille kaikista merkittävistä tietoturvaloukkauksista tai eheyden menetyksistä, joista se saa tiedon tehtäviään suorittaessaan, ja jos merkittävä tietoturvaloukkaus tai eheyden menetys koskee muita jäsenvaltioita, ilmoittaminen asiasta direktiivin (EU) 2022/2555 8 artiklan 3 kohdan mukaisesti nimetylle tai perustetulle asianomaisen jäsenvaltion keskitetylle yhteyspisteelle ja tämän asetuksen 46 c artiklan 1 kohdan mukaisesti nimetyille keskitetyille yhteyspisteille asianomaisissa muissa jäsenvaltioissa sekä tiedottaminen asiasta yleisölle tai sen vaatiminen, että luottamuspalvelun tarjoaja tiedottaa siitä, jos valvontaelin katsoo, että tietoturvaloukkauksen tai eheyden menetyksen julkistaminen olisi yleisen edun mukaista;
yhteistyön tekeminen muiden valvontaelinten kanssa ja tuen antaminen niille 46 c ja 46 e artiklan mukaisesti;
20 artiklan 1 kohdassa ja 21 artiklan 1 kohdassa tarkoitettujen vaatimustenmukaisuuden arviointikertomusten analysointi;
komissiolle tiedottaminen valvontaelimen tärkeimmistä toimista tämän artiklan 6 kohdan mukaisesti;
tarkastusten tekeminen tai vaatimustenmukaisuuden arviointilaitoksen pyytäminen suorittamaan hyväksyttyjen luottamuspalvelun tarjoajien vaatimustenmukaisuuden arviointi 20 artiklan 2 kohdan mukaisesti;
yhteistyön tekeminen asetuksen (EU) 2016/679 51 artiklan nojalla perustettujen toimivaltaisten valvontaviranomaisten kanssa erityisesti ilmoittamalla niille ilman aiheetonta viivytystä, jos henkilötietojen suojaa koskevia sääntöjä näyttää olevan rikottu, sekä tietoturvaloukkauksista, jotka näyttävät olevan henkilötietojen loukkauksia;
hyväksytyn aseman myöntäminen luottamuspalvelun tarjoajille ja niiden tarjoamille palveluille sekä kyseisen aseman peruuttaminen 20 ja 21 artiklan mukaisesti;
22 artiklan 3 kohdassa tarkoitetusta kansallisesta luotetusta luettelosta vastaavalle elimelle tiedottaminen hyväksytyn aseman myöntämistä tai peruuttamista koskevista päätöksistään, ellei tämä elin ole myös tämän artiklan 1 kohdan mukaisesti nimetty valvontaelin;
lopettamissuunnitelmia koskevien säännösten olemassaolon ja asianmukaisen soveltamisen tarkistaminen, jos hyväksytty luottamuspalvelun tarjoaja lopettaa toimintansa, 24 artiklan 2 kohdan h alakohdan mukainen tiedon saatavilla pitäminen mukaan lukien;
sen edellyttäminen, että luottamuspalvelun tarjoajat korjaavat mahdolliset puutteet tässä asetuksessa säädettyjen vaatimusten täyttämisessä;
verkkoselainten tarjoajien 45 a artiklan nojalla esittämien väitteiden tutkiminen ja toimien toteuttaminen tarvittaessa.
46 c artikla
Keskitetyt yhteyspisteet
46 d artikla
Keskinäinen avunanto
Keskinäiseen avunantoon on kuuluttava vähintään seuraavaa:
valvonta- tai täytäntöönpanotoimenpiteitä jäsenvaltiossa soveltavan valvontaelimen on informoitava ja kuultava asianomaisen toisen jäsenvaltion valvontaelintä;
valvontaelin voi pyytää asianomaisen toisen jäsenvaltion valvontaelintä toteuttamaan valvonta- tai täytäntöönpanotoimenpiteitä mukaan lukien esimerkiksi pyynnöt suorittaa 20 ja 21 artiklassa tarkoitettuihin luottamuspalvelujen tarjoamista koskeviin vaatimustenmukaisuuden arviointikertomuksiin liittyviä selvityksiä;
valvontaelimet voivat tarvittaessa toteuttaa yhteisselvityksiä muiden jäsenvaltioiden valvontaelinten kanssa.
Asianomaiset jäsenvaltiot hyväksyvät ja ottavat käyttöön ensimmäisen alakohdan mukaisia yhteisiä toimia koskevat järjestelyt ja menettelyt kansallisen lakinsa mukaisesti.
Valvontaelin, jolle avunantopyyntö on osoitettu, voi kieltäytyä noudattamasta pyyntöä millä hyvänsä seuraavalla perusteella:
pyydetty apu ei ole oikeassa suhteessa valvontaelimen 46 a ja 46 b artiklan mukaisesti toteuttamiin valvontatehtäviin;
valvontaelimellä ei ole toimivaltaa antaa pyydettyä apua;
pyydetyn avun antaminen olisi ristiriidassa tämän asetuksen kanssa.
46 e artikla
Eurooppalaisen digitaalisen identiteetin yhteistyöryhmä
Yhteistyöryhmällä on seuraavat tehtävät:
neuvojen vaihtaminen ja yhteistyö komission kanssa digitaalisen identiteetin lompakoiden, sähköisen tunnistamisen menetelmien ja luottamuspalvelujen alalla kehitteillä olevien toimintapoliittisten aloitteiden osalta;
tarvittaessa neuvojen antaminen komissiolle tämän asetuksen nojalla hyväksyttävien täytäntöönpanosäädösehdotusten ja delegoitujen säädösehdotusten varhaisessa valmisteluvaiheessa;
valvontaelinten tukemiseksi tämän asetuksen säännösten täytäntöönpanossa yhteistyöryhmä
vaihtaa parhaita käytäntöjä ja tietoja tämän asetuksen säännösten täytäntöönpanosta;
arvioi digitaalisen identiteetin lompakon, sähköisen tunnistamisen ja luottamuspalvelujen alan kehitystä;
järjestää eri puolilta unionia tulevien asiaankuuluvien sidosryhmien kanssa yhteiskokouksia, joissa keskustellaan yhteistyöryhmän toteuttamista toimista ja kerätään näkemyksiä esiin nousevista toimintapoliittisista haasteista;
vaihtaa ENISAn tuella näkemyksiä, parhaita käytäntöjä ja tietoja eurooppalaisiin digitaalisen identiteetin lompakoihin, sähköisen tunnistamisen järjestelmiin ja luottamuspalveluihin liittyvistä asiaankuuluvista kyberturvallisuusnäkökohdista;
vaihtaa parhaita käytäntöjä 5 e ja 10 artiklassa tarkoitettujen tietoturvaloukkausten ilmoittamista ja yhteisiä toimenpiteitä koskevien toimintaperiaatteiden kehittämisestä ja täytäntöönpanosta;
järjestää yhteisiä kokouksia direktiivin (EU) 2022/2555 14 artiklan 1 kohdan nojalla perustetun verkko- ja tietoturva-alan yhteistyöryhmän kanssa asiaankuuluvien tietojen vaihtamiseksi luottamuspalveluja ja sähköistä tunnistamista koskevien kyberuhkien, poikkeamien, haavoittuvuuksien, tietoisuutta lisäävien aloitteiden, koulutuksen, harjoitusten ja taitojen, valmiuksien kehittämisen, standardien ja teknisten eritelmien valmiuksien sekä standardien ja teknisten eritelmien osalta;
keskustee valvontaelimen pyynnöstä yksittäisistä 46 d artiklassa tarkoitettua keskinäistä avunantoa koskevista pyynnöistä;
helpottaa valvontaelinten välistä tietojenvaihtoa antamalla opastusta 46 d artiklassa tarkoitetun keskinäisen avunannon organisatorisista näkökohdista ja menettelyistä;
tämän asetuksen soveltamisalaan kuuluvien ilmoitettavien sähköisen tunnistamisen järjestelmien vertaisarviointien järjestäminen.
V
LUKU
SÄÄDÖSVALLAN SIIRTO JA TÄYTÄNTÖÖNPANOSÄÄNNÖKSET
47 artikla
Siirretyn säädösvallan käyttäminen
48 artikla
Komiteamenettely
VI
LUKU
LOPPUSÄÄNNÖKSET
48 a artikla
Raportointivaatimukset
Edellä 1 kohdan mukaisesti kerättyihin tilastotietoihin on sisällyttävä seuraavat:
niiden luonnollisten ja oikeushenkilöiden lukumäärä, joilla on voimassa oleva eurooppalainen digitaalisen identiteetin lompakko;
niiden palvelujen tyyppi ja lukumäärä, jotka hyväksyvät eurooppalaisen digitaalisen identiteetin lompakon käytön;
luottaviin osapuoliin ja hyväksyttyihin luottamuspalveluihin liittyvien käyttäjävalitusten ja kuluttajansuoja- tai tietosuojapoikkeamien lukumäärä;
tiivistelmäraportti, joka sisältää tiedot eurooppalaisen digitaalisen identiteetin lompakon käytön estävistä poikkeamista;
tiivistelmä merkittävistä tietoturvapoikkeamista, tietoturvaloukkauksista ja niiden kohteeksi joutuneista eurooppalaisten digitaalisen identiteetin lompakkojen tai hyväksyttyjen luottamuspalvelujen käyttäjistä.
49 artikla
Uudelleentarkastelu
50 artikla
Kumoaminen
51 artikla
Siirtymätoimenpiteet
52 artikla
Voimaantulo
Tätä asetusta sovelletaan 1 päivästä heinäkuuta 2016, lukuun ottamatta seuraavia säännöksiä:
asetuksen 8 artiklan 3 kohtaa, 9 artiklan 5 kohtaa, 12 artiklan 2–9 kohtaa, 17 artiklan 8 kohtaa, 19 artiklan 4 kohtaa, 20 artiklan 4 kohtaa, 21 artiklan 4 kohtaa, 22 artiklan 5 kohtaa, 23 artiklan 3 kohtaa, 24 artiklan 5 kohtaa, 27 artiklan 4 ja 5 kohtaa, 28 artiklan 6 kohtaa, 29 artiklan 2 kohtaa, 30 artiklan 3 ja 4 kohtaa, 31 artiklan 3 kohtaa, 32 artiklan 3 kohtaa, 33 artiklan 2 kohtaa, 34 artiklan 2 kohtaa, 37 artiklan 4 ja 5 kohtaa, 38 artiklan 6 kohtaa, 42 artiklan 2 kohtaa, 44 artiklan 2 kohtaa, 45 artiklan 2 kohtaa, 47 artiklaa ja 48 artiklaa sovelletaan 17 päivästä syyskuuta 2014;
asetuksen 7 artiklaa, 8 artiklan 1 ja 2 kohtaa, 9 artiklaa, 10 artiklaa, 11 artiklaa ja 12 artiklan 1 kohtaa sovelletaan 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä;
asetuksen 6 artiklaa sovelletaan kolmen vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
LIITE I
SÄHKÖISTEN ALLEKIRJOITUSTEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET
Sähköisten allekirjoitusten hyväksyttyjen varmenteiden on sisällettävä:
tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen allekirjoituksen hyväksyttynä varmenteena;
tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyt varmenteet myöntävää hyväksyttyä luottamuspalvelun tarjoajaa ja sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut, ja
ainakin allekirjoittajan nimi tai salanimi; jos käytetään salanimeä, tämä on ilmoitettava selvästi;
sähköisen allekirjoituksen validointitiedot, jotka vastaavat sen luontitietoja;
tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;
varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;
myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;
sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;
tieto hyväksytyn varmenteen voimassaolon tilasta tai niiden palvelujen sijainti, joista sen voi selvittää;
jos sähköisen allekirjoituksen validointitietoihin liittyvät sähköisen allekirjoituksen luontitiedot sijaitsevat hyväksytyssä sähköisten allekirjoitusten luontivälineessä, tieto tästä ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa.
LIITE II
HYVÄKSYTTYJÄ SÄHKÖISEN ALLEKIRJOITUKSEN LUONTIVÄLINEITÄ KOSKEVAT VAATIMUKSET
1. Hyväksytyillä sähköisen allekirjoituksen luontivälineillä on tarkoituksenmukaista tekniikkaa ja menettelytapoja käyttäen varmistettava ainakin, että
sähköisen allekirjoituksen luomisessa käytettävien sähköisen allekirjoituksen luontitietojen luottamuksellisuus taataan kohtuudella;
sähköisen allekirjoituksen luomisessa käytettäviä sähköisen allekirjoituksen luontitietoja voi käytännössä esiintyä vain kerran;
sähköisen allekirjoituksen luomisessa käytettävät sähköisen allekirjoituksen luontitiedot eivät kohtuullisella varmuudella ole pääteltävissä ja sähköinen allekirjoitus on luotettavasti suojattu väärentämiseltä kulloinkin saatavilla olevan teknologian mukaisesti;
laillinen allekirjoittaja voi luotettavasti suojata sähköisen allekirjoituksen luomisessa käytettävät sähköisen allekirjoituksen luontitiedot muiden käytöltä.
2. Hyväksytyt sähköisen allekirjoituksen luontivälineet eivät saa muuttaa allekirjoitettavia tietoja eivätkä estää niiden esittämistä allekirjoittajalle ennen allekirjoittamista.
▼M1 —————
LIITE III
SÄHKÖISTEN LEIMOJEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET
Sähköisten leimojen hyväksyttyjen varmenteiden on sisällettävä:
tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen leiman hyväksyttynä varmenteena;
tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyt varmenteet myöntävää hyväksyttyä luottamuspalvelun tarjoajaa ja sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut, ja
ainakin leiman luojan nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa;
sähköisen leiman validointitiedot, jotka vastaavat kyseisen sähköisen leiman luontitietoja;
tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;
varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;
myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;
sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;
tieto hyväksytyn varmenteen voimassaolon tilasta tai niiden palvelujen sijainti, joista sen voi selvittää;
jos sähköisen leiman validointitietoihin liittyvät sähköisen leiman luontitiedot sijaitsevat hyväksytyssä sähköisten leimojen luontivälineessä, tieto tästä ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa.
LIITE IV
VERKKOSIVUSTOJEN TODENTAMISEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET
Verkkosivustojen todentamisen hyväksyttyjen varmenteiden on sisällettävä:
tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty verkkosivustojen todentamisen hyväksyttynä varmenteena;
tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyt varmenteet myöntävää hyväksyttyä luottamuspalvelun tarjoajaa ja sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut, ja
luonnollisten henkilöiden osalta: ainakin sen henkilön nimi, jolle varmenne on myönnetty, tai pseudonyymi; jos käytetään pseudonyymiä, asiasta on ilmoitettava selvästi;
oikeushenkilöiden osalta: sitä oikeushenkilöä, jolle varmenne on myönnetty, yksiselitteisesti edustava yksilöivä tietokokonaisuus ja ainakin sen oikeushenkilön nimi, jolle varmenne on myönnetty, ja tapauksen mukaan rekisterinumero virallisissa rekistereissä olevassa muodossa;
luonnollisen henkilön tai oikeushenkilön, jolle varmenne on myönnetty, osoitteen osatiedot, mukaan luettuina ainakin kaupunki ja valtio, tarvittaessa virallisissa rekistereissä olevassa muodossa;
luonnollisen henkilön tai oikeushenkilön, jolle varmenne on myönnetty, käyttämät verkon aluetunnukset;
tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;
varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;
myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;
sijainti, josta h kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;
tieto hyväksytyn varmenteen voimassaolon tilasta tai niiden palvelujen sijainti, joista sen voi selvittää.
LIITE V
HYVÄKSYTTYJÄ SÄHKÖISIÄ ATTRIBUUTTITODISTUKSIA KOSKEVAT VAATIMUKSET
Hyväksyttyjen sähköisten attribuuttitodistusten on sisällettävä:
tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että todistus on myönnetty hyväksyttynä sähköisenä attribuuttitodistuksena;
tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyn sähköisen attribuuttitodistuksen myöntävää hyväksyttyä luottamuspalvelun tarjoajaa ja sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut, ja
oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,
luonnollisen henkilön osalta: henkilön nimi;
tietokokonaisuus, joka yksiselitteisesti edustaa tahoa, johon todistetut attribuutit viittaavat; jos käytetään pseudonyymiä, asiasta on ilmoitettava selvästi;
todistettu attribuutti tai todistetut attribuutit, tarvittaessa mukaan lukien tiedot, jotka ovat tarpeen kyseisten attribuuttien kattavuuden määrittämiseksi;
tiedot todistuksen voimassaoloajan alkamisesta ja päättymisestä;
todistuksen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä, ja tarvittaessa tieto todistusjärjestelmästä, jonka osa attribuuttitodistus on;
myöntävän hyväksytyn luottamuspalvelun tarjoajan hyväksytty sähköinen allekirjoitus tai hyväksytty sähköinen leima;
sijainti, josta g kohdassa tarkoitettua hyväksyttyä sähköistä allekirjoitusta tai hyväksyttyä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;
tieto hyväksytyn todistuksen voimassaolon tilasta tai niiden palvelujen sijainti, joista sen voi selvittää.
LIITE VI
ATTRIBUUTTIEN VÄHIMMÄISLUETTELO
Tämän asetuksen 45 e artiklan mukaisesti jäsenvaltioiden on varmistettava, että toteutetaan toimenpiteitä, joiden avulla sähköisten attribuuttitodistusten hyväksytyt luottamuspalvelun tarjoajat voivat käyttäjän pyynnöstä tarkastaa seuraavien attribuuttien aitouden sähköisin menetelmin suoraan asianomaisesta virallisesta lähteestä kansallisen tasolla tai sellaisten nimettyjen välittäjien kautta, jotka on tunnustettu kansallisella tasolla, unionin oikeuden tai kansallisen lainsäädännön mukaisesti ja jos nämä attribuutit perustuvat julkisen sektorin virallisiin lähteisiin:
Osoite
Ikä
Sukupuoli
Siviilisääty
Perheen koostumus
Kansallisuus tai kansalaisuus
Tutkinto, tutkintonimike ja koulutustodistukset
Ammattipätevyys, ammattinimikkeet ja toimiluvat
Valtuudet ja valtuutukset edustaa luonnollisia tai oikeushenkilöitä
Julkiset luvat
Oikeushenkilöiden osalta taloudelliset ja yritystiedot.
LIITE VII
VIRALLISESTA LÄHTEESTÄ VASTAAVAN JULKISEN ELIMEN MYÖNTÄMÄÄ TAI SEN PUOLESTA MYÖNNETTYÄ SÄHKÖISTÄ ATTRIBUUTTITODISTUSTA KOSKEVAT VAATIMUKSET
Virallisesta lähteestä vastaavan julkisen elimen myöntämän tai sen puolesta myönnetyn sähköisen attribuuttitodistuksen on sisällettävä seuraavat:
vähintään automaattiseen käsittelyyn soveltuvassa muodossa oleva ilmoitus siitä, että todistus on myönnetty sähköisenä attribuuttitodistuksena, jonka on myöntänyt virallisesta lähteestä vastaava julkinen elin tai joka on myönnetty sen puolesta;
tietokokonaisuus, joka yksiselitteisesti edustaa sähköisen attribuuttitodistuksen myöntävää julkista elintä, mukaan lukien vähintään jäsenvaltio, johon kyseinen julkinen elin on sijoittautunut, ja sen nimi ja tarvittaessa sen rekisterinumero virallisissa rekistereissä olevassa muodossa;
tietokokonaisuus, joka yksiselitteisesti edustaa tahoa, johon todistetut attribuutit viittaavat; jos käytetään pseudonyymiä, asiasta on ilmoitettava selvästi;
todistettu attribuutti tai todistetut attribuutit, tarvittaessa mukaan lukien tiedot, jotka ovat tarpeen kyseisten attribuuttien kattavuuden määrittämiseksi;
tiedot todistuksen voimassaoloajan alkamisesta ja päättymisestä;
todistuksen tunniste, jonka on oltava kyseisen myöntävän julkisen elimen osalta yksilöivä, ja tarvittaessa tieto todistusjärjestelmästä, jonka osa attribuuttitodistus on;
myöntävän elimen hyväksytty sähköinen allekirjoitus tai hyväksytty sähköinen leima;
sijainti, josta g kohdassa tarkoitettua hyväksyttyä sähköistä allekirjoitusta tai hyväksyttyä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;
tieto todistuksen voimassaolon tilasta tai niiden palvelujen sijainti, joista sen voi selvittää.
( 1 ) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
( 2 ) Euroopan parlamentin ja neuvoston direktiivi 2014/24/EU, annettu 26 päivänä helmikuuta 2014, julkisista hankinnoista ja direktiivin 2004/18/EY kumoamisesta (EUVL L 94, 28.3.2014, s. 65).
( 3 ) Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/882, annettu 17 päivänä huhtikuuta 2019, tuotteiden ja palvelujen esteettömyysvaatimuksista (EUVL L 151, 7.6.2019, s. 70).
( 4 ) Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15).
( 5 ) Komission suositus 2003/361/EY, annettu 6 päivänä toukokuuta 2003, mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä (EUVL L 124, 20.5.2003, s. 36).
( 6 ) Euroopan parlamentin ja neuvoston asetus (EU) 2022/2065, annettu 19 päivänä lokakuuta 2022, digitaalisten palvelujen sisämarkkinoista ja direktiivin 2000/31/EY muuttamisesta (digipalvelusäädös) (EUVL L 277, 27.10.2022, s. 1).
( 7 ) Euroopan parlamentin ja neuvoston asetus (EU) 2022/1925, annettu 14 päivänä syyskuuta 2022, kilpailullisista ja oikeudenmukaisista markkinoista digitaalialalla ja direktiivien (EU) 2019/1937 ja (EU) 2020/1828 muuttamisesta (digimarkkinasäädös) (EUVL L 265, 12.10.2022, s. 1).
( 8 ) Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80).