9.9.2015

Euroopan unionin virallinen lehti

L 235/1

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2015/1501,

annettu 8 päivänä syyskuuta 2015,

yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta 23 päivänä heinäkuuta 2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (1) ja erityisesti sen 12 artiklan 8 kohdan,

sekä katsoo seuraavaa:

(1)	Asetuksen (EU) N:o 910/2014 12 artiklan 2 kohdassa säädetään, että olisi perustettava yhteentoimivuusjärjestelmä mainitun asetuksen 9 artiklan 1 kohdan mukaisesti ilmoitettujen kansallisten sähköisen tunnistamisen järjestelmien yhteentoimivuutta varten.

(2)

Solmupisteillä on keskeinen merkitys jäsenvaltioiden sähköisen tunnistamisen järjestelmien yhteenliittämisen kannalta. Niiden rooli on esitetty Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 1316/2013 (2) perustettuun Verkkojen Eurooppa -välineeseen liittyvässä dokumentaatiossa, mukaan lukien ”eIDAS-solmupisteen” toiminnot ja komponentit.

(3)

Jos jäsenvaltio tai komissio tarjoaa toisen jäsenvaltion solmupisteen käyttöön ohjelmiston mahdollistaakseen todentamisen, todentamismekanismia varten käytettävän ohjelmiston toimittava ja päivittävä osapuoli voi sopia ohjelmiston vastaanottavan osapuolen kanssa todentamismekanismin toiminnan hallinnoimisesta. Tällainen sopimus ei saisi aiheuttaa kohtuuttomia teknisiä vaatimuksia tai kustannuksia (mukaan lukien tuki, vastuut, isännöiminen ja muut kustannukset) vastaanottavalle osapuolelle.

(4)

Siltä osin kuin yhteentoimivuusjärjestelmän täytäntöönpanon kannalta on perusteltua, komissio voi yhteistyössä jäsenvaltioiden kanssa laatia teknisiä eritelmiä tässä asetuksessa vahvistettujen teknisten vaatimusten täsmentämiseksi, ottaen erityisesti huomioon komission täytäntöönpanopäätöksen (EU) N:o 2015/296 (3) 14 artiklan d kohdassa tarkoitetun yhteistyöverkoston lausunnot. Tällaiset eritelmät olisi laadittava osana asetuksessa (EU) N:o 1316/2013 tarkoitettuja digitaalipalvelujen infrastruktuureita, jotka tarjoavat keinot sähköisen tunnistamisen käytännön toteutukselle.

(5)	Tässä asetuksessa vahvistettuja teknisiä vaatimuksia olisi sovellettava huolimatta mahdollisista muutoksista, joita teknisiin eritelmiin voidaan tehdä tämän asetuksen 12 artiklan mukaisesti.

(6)	Laajamittainen STORK-pilottihanke ja siinä laaditut eritelmät sekä eurooppalaiset yhteentoimivuusperiaatteet eurooppalaisia julkisia palveluja varten on otettu mahdollisimman pitkälti huomioon tässä asetuksessa vahvistettavissa yhteentoimivuusjärjestelmän järjestelyissä.

(7)	Jäsenvaltioiden välisen yhteistyön tulokset on otettu mahdollisimman pitkälti huomioon.

(8)	Tässä asetuksessa säädetyt toimenpiteet ovat asetuksen (EU) N:o 910/2014 48 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Kohde

Tässä asetuksessa vahvistetaan yhteentoimivuusjärjestelmän tekniset ja toiminnalliset vaatimukset, jotta voidaan varmistaa jäsenvaltioiden komissiolle ilmoittamien sähköisen tunnistamisen järjestelmien yhteentoimivuus.

Näihin vaatimuksiin kuuluvat erityisesti

a)	3 ja 4 artiklassa esitetyt tekniset vähimmäisvaatimukset, jotka liittyvät varmuustasoihin ja ilmoitettujen sähköisen tunnistamisen järjestelmien puitteissa myönnettyjen sähköisen tunnistamisen menetelmien kansallisten varmuustasojen kartoittamiseen asetuksen (EU) N:o 910/2014 8 artiklan mukaisesti;

b)	5 ja 8 artiklassa esitetyt yhteentoimivuutta koskevat tekniset vähimmäisvaatimukset;

c)	11 artiklassa ja liitteessä esitetyt luonnollista tai oikeushenkilöä yksilöivästi edustavia henkilön tunnistetietoja koskevat vähimmäisvaatimukset;

d)	6, 7, 9 ja 10 artiklassa esitetyt yhteiset toiminnan turvallisuutta koskevat standardit;

e)	13 artiklassa esitetyt riidanratkaisujärjestelyt.

2 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan

’solmupisteellä’ yhteyspistettä, joka on osa sähköisen tunnistamisen yhteentoimivuusarkkitehtuuria ja joka osallistuu henkilöiden todentamiseen rajojen yli ja joka pystyy tunnistamaan sekä käsittelemään tai siirtämään tietoja muihin solmupisteisiin tarjoamalla yhden jäsenvaltion kansalliselle sähköisen tunnistamisen infrastruktuurille rajapinnan muiden jäsenvaltioiden sähköisen tunnistamisen infrastruktuureihin;

2)	’solmupisteen ylläpitäjällä’ tahoa, joka on vastuussa siitä, että solmupiste täyttää moitteettomasti ja luotettavasti tehtävänsä yhteyspisteenä.

3 artikla

Varmuustasoihin liittyvät tekniset vähimmäisvaatimukset

Varmuustasoihin liittyvät tekniset vähimmäisvaatimukset vahvistetaan komission täytäntöönpanoasetuksessa (EU) 2015/1502 (4).

4 artikla

Kansallisten varmuustasojen kartoitus

Ilmoitettujen sähköisen tunnistamisen järjestelmien kansallisten varmistustasojen kartoittamisessa on noudatettava täytäntöönpanoasetuksen (EU) 2015/1502 vaatimuksia. Kartoituksen tulokset on ilmoitettava komissiolle käyttäen komission täytäntöönpanopäätöksessä (EU) 2015/1505 (5) vahvistettua ilmoitusmallia.

5 artikla

Solmupisteet

1. Yhdessä jäsenvaltiossa oleva solmupiste on voitava kytkeä muiden jäsenvaltioiden solmupisteisiin.

2. Solmupisteiden on voitava teknisin keinoin erottaa toisistaan julkisen sektorin elimet ja muut luottavat osapuolet.

3. Tässä asetuksessa esitettyjen teknisten vaatimusten täytäntöönpano jäsenvaltiossa ei saa aiheuttaa muille jäsenvaltioille kohtuuttomia teknisiä vaatimuksia ja kustannuksia niiden huolehtiessa yhteentoimivuudesta kyseisen jäsenvaltion kanssa.

6 artikla

Tietosuoja ja luottamuksellisuus

1. Vaihdettujen tietojen suojaus ja luottamuksellisuus ja tietojen eheyden säilyttäminen solmupisteiden välillä on varmistettava käyttämällä parhaita käytettävissä olevia teknisiä ratkaisuja ja suojauskäytäntöjä.

2. Solmupisteissä ei saa säilyttää henkilötietoja paitsi 9 artiklan 3 kohdan soveltamiseksi.

7 artikla

Tietojen eheys ja autenttisuus viestinnässä

Solmupisteiden välisessä viestinnässä on varmistettava tietojen eheys ja autenttisuus, jotta voidaan varmistaa, että kaikki pyynnöt ja vastaukset ovat aitoja ja ettei niihin ole kajottu. Tätä varten solmupisteiden on käytettävä ratkaisuja, jotka ovat osoittautuneet toimiviksi rajat ylittävässä operatiivisessa käytössä.

8 artikla

Viestinnän sanomamuoto

Solmupisteiden on käytettävä syntaksissa standardeihin perustuvia yhteisiä sanomamuotoja, joita on jo käytetty useammin kuin kerran jäsenvaltioiden välillä ja joiden on todettu toimivan operatiivisessa käytössä. Syntaksin on mahdollistettava

a)	vähimmäisvaatimusten mukaisten luonnollista tai oikeushenkilöä yksilöivästi edustavien henkilön tunnistetietojen asianmukainen käsittely;

b)	sähköisen tunnistamisen menetelmien varmuustason asianmukainen käsittely;

c)	eron tekeminen julkisen sektorin elinten ja muiden luottavien osapuolten välillä;

d)	joustavuus tunnistamista koskeviin lisämääreisiin liittyvien tarpeiden täyttämiseksi.

9 artikla

Turvallisuustietojen ja metadatan hallinta

1. Solmupisteen ylläpitäjän on ilmoitettava solmupisteen hallinnoinnin metadata standardoidussa ja koneellisesti luettavissa olevassa muodossa turvallisella ja luotettavalla tavalla.

2. Ainakin turvallisuuden kannalta merkitykselliset parametrit on haettava automaattisesti.

3. Solmupisteen ylläpitäjän on säilytettävä tiedot, joiden avulla voidaan poikkeaman tapauksessa rekonstruoida viestiketju poikkeaman paikan ja luonteen määrittämiseksi. Tiedot on tallennettava määräajaksi kansallisten vaatimusten mukaisesti, ja niissä on oltava vähintään

a)	solmupisteen tunnistetiedot;

b)	viestin tunnistetiedot;

c)	viestin päivämäärä ja kellonaika.

10 artikla

Tietovarmuus ja turvallisuusstandardit

1. Todentamista tarjoavien solmupisteiden ylläpitäjien on osoitettava, että solmupiste täyttää yhteentoimivuusjärjestelmään osallistuvien solmupisteiden osalta ISO/IEC 27001 -standardien vaatimukset sertifioinnin tai vastaavien arviointimenetelmien perusteella tai noudattamalla kansallista lainsäädäntöä.

2. Solmupisteiden ylläpitäjien on tehtävä turvallisuuden kannalta kriittiset päivitykset ilman aiheetonta viivytystä.

11 artikla

Henkilön tunnistetiedot

1. Luonnollista tai oikeushenkilöä yksilöivästi edustavien henkilön tunnistetietojen on vähimmillään täytettävä liitteessä esitetyt vaatimukset, kun näitä tietoja käytetään rajat ylittävissä tapauksissa.

2. Oikeushenkilöä edustavaa luonnollista henkilöä koskevien tietojen on vähimmillään sisällettävä liitteessä luonnollisten ja oikeushenkilöiden osalta mainittujen määreiden yhdistelmä, kun näitä tietoja käytetään rajat ylittävissä tapauksissa.

3. Tiedot on toimitettava käyttäen alkuperäistä merkistöä ja lisäksi tarvittaessa translitteroitava latinalaisin kirjaimin.

12 artikla

Tekniset eritelmät

1. Jos on perusteltua yhteentoimivuusjärjestelmän täytäntöönpanoprosessin kannalta, täytäntöönpanopäätöksellä (EU) N:o 2015/296 perustettu yhteistyöverkosto voi antaa lausuntoja mainitun päätöksen 14 artiklan d alakohdan mukaisesti tarpeesta laatia teknisiä eritelmiä. Tällaisissa teknisissä eritelmissä on täsmennettävä tässä asetuksessa vahvistettuja teknisiä vaatimuksia.

2. Edellä 1 kohdassa tarkoitetun lausunnon perusteella komissio laatii yhteistyössä jäsenvaltioiden kanssa tekniset eritelmät osana asetuksessa (EU) N:o 1316/2013 tarkoitettuja digitaalipalvelujen infrastruktuureita.

3. Yhteistyöverkoston on annettava täytäntöönpanopäätöksen (EU) 2015/296 14 artiklan d alakohdan mukaisesti lausunto, jossa se arvioi, vastaavatko 2 kohdan mukaisesti laaditut tekniset eritelmät 1 kohdassa tarkoitetussa lausunnossa yksilöityyn tarpeeseen tai tässä asetuksessa vahvistettuihin vaatimuksiin ja missä määrin. Se voi suositella, että jäsenvaltiot ottavat tekniset eritelmät huomioon pannessaan yhteentoimivuusjärjestelmää täytäntöön.

4. Komissio toimittaa viitesovelluksen teknisten eritelmien tulkintaesimerkkinä. Jäsenvaltiot voivat soveltaa tätä viitesovellusta tai käyttää sitä näytteenä testatessaan muita teknisten eritelmien sovelluksia.

13 artikla

Riitojen ratkaisu

1. Mahdolliset yhteentoimivuusjärjestelmää koskevat riidat on mahdollisuuksien mukaan ratkaistava asianomaisten jäsenvaltioiden välisillä neuvotteluilla.

2. Jos ratkaisuun ei päästä 1 kohdan mukaisesti, täytäntöönpanopäätöksen (EU) N:o 2015/296 12 artiklan nojalla perustetulla yhteistyöverkostolla on toimivalta riita-asiassa työjärjestyksensä mukaisesti.

14 artikla

Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 8 päivänä syyskuuta 2015.

Komission puolesta

Puheenjohtaja

Jean-Claude JUNCKER

(1) EUVL L 257, 28.8.2014, s. 73.

(2) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1316/2013, annettu 11 päivänä joulukuuta 2013, Verkkojen Eurooppa -välineen perustamisesta sekä asetuksen (EU) N:o 913/2010 muuttamisesta ja asetusten (EY) N:o 680/2007 ja (EY) N:o 67/2010 kumoamisesta (EUVL L 348, 20.12.2013, s. 129).

(3) Komission täytäntöönpanopäätös (EU) 2015/296, annettu 24 päivänä helmikuuta 2015, menettelyä koskevien järjestelyjen vahvistamisesta sähköiseen tunnistamiseen liittyvää jäsenvaltioiden välistä yhteistyötä varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 7 kohdan mukaisesti (EUVL L 53, 25.2.2015, s. 14).

(4) Komission täytäntöönpanoasetus (EU) 2015/1502, annettu 8 päivänä syyskuuta 2015, teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti (katso tämän virallisen lehden sivu 7).

(5) Komission täytäntöönpanopäätös (EU) 2015/1505 annettu 8 päivänä syyskuuta 2015, luotettujen luetteloiden teknisten eritelmien ja muotoseikkojen vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 22 artiklan 5 kohdan mukaisesti (katso tämän virallisen lehden sivu 26).

LIITE

Luonnollista tai oikeushenkilöä yksilöivästi edustavien henkilön tunnistetietojen vähimmäisvaatimukset (11 artikla)

1. Luonnollisen henkilön tunnistetietoja koskevat vähimmäisvaatimukset

Luonnollisen henkilön vähimmäistietojen on sisällettävä kaikki seuraavat pakolliset määreet:

a)	nykyinen sukunimi (-nimet);

b)	nykyinen etunimi (-nimet);

c)	syntymäaika;

d)	yksilöllinen tunniste, jonka lähettävä jäsenvaltio on luonut noudattaen teknisiä eritelmiä rajat ylittävää tunnistamista varten ja joka on mahdollisimman pitkäkestoinen.

Luonnollisen henkilön vähimmäistiedot voivat sisältää yhden tai useamman seuraavista lisämääreistä:

a)	etunimi (-nimet) ja sukunimi (-nimet) syntymähetkellä;

b)	syntymäpaikka;

c)	nykyinen osoite;

d)	sukupuoli.

2. Oikeushenkilön tunnistetietoja koskevat vähimmäisvaatimukset

Oikeushenkilön vähimmäistietojen on sisällettävä kaikki seuraavat pakolliset määreet:

a)	nykyinen virallinen nimi;

b)	yksilöllinen tunniste, jonka lähettävä jäsenvaltio on luonut noudattaen teknisiä eritelmiä rajat ylittävää tunnistamista varten ja joka on mahdollisimman pitkäkestoinen.

Oikeushenkilön vähimmäistiedot voivat sisältää yhden tai useamman seuraavista lisämääreistä:

a)	nykyinen osoite;

b)	arvonlisäverotunniste;

c)	verorekisterinumero;

d)	Euroopan parlamentin ja neuvoston direktiivin 2009/101/EY (1) 3 artiklan 1 kohdassa tarkoitettu tunniste;

e)	komission täytäntöönpanoasetuksessa (EU) N:o 1247/2012 (2) tarkoitettu oikeushenkilötunnus (LEI);

f)	komission täytäntöönpanoasetuksessa (EU) N:o 1352/2013 (3) tarkoitettu taloudellisen toimijan rekisteröinti- ja tunnistenumero (EORI-numero);

g)	neuvoston asetuksen N:o 389/2012 (4) 2 artiklan 12 kohdassa tarkoitettu valmisteveronumero.

(1) Euroopan parlamentin ja neuvoston direktiivi 2009/101/EY, annettu 16 päivänä syyskuuta 2009, niiden takeiden yhteensovittamisesta samanveroisiksi, joita jäsenvaltioissa vaaditaan perustamissopimuksen 48 artiklan toisessa kohdassa tarkoitetuilta yhtiöiltä niiden jäsenten sekä ulkopuolisten etujen suojaamiseksi (EUVL L 258, 1.10.2009, s. 11).

(2) Komission täytäntöönpanoasetus (EU) N:o 1247/2012, annettu 19 päivänä joulukuuta 2012, kauppatietorekistereihin OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 mukaisesti annettavien kauppailmoitusten muotoa ja antamistiheyttä koskevista teknisistä täytäntöönpanostandardeista (EUVL L 352, 21.12.2012, s. 20).

(3) Komission täytäntöönpanoasetus (EU) N:o 1352/2013, annettu 4 päivänä joulukuuta 2013, teollis- ja tekijänoikeuksien tullivalvonnasta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 608/2013 säädettyjen lomakkeiden vahvistamisesta (EUVL L 341, 18.12.2013, s. 10).

(4) Neuvoston asetus (EU) N:o 389/2012, annettu 2 päivänä toukokuuta 2012, hallinnollisesta yhteistyöstä valmisteverotuksen alalla ja asetuksen (EY) N:o 2073/2004 kumoamisesta (EUVL L 121, 8.5.2012, s. 1).

9.9.2015

Euroopan unionin virallinen lehti

L 235/7

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2015/1502,

annettu 8 päivänä syyskuuta 2015,

teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

sekä katsoo seuraavaa:

(1)	Asetuksen (EU) N:o 910/2014 8 artiklassa säädetään, että 9 artiklan 1 kohdan nojalla ilmoitetussa sähköisen tunnistamisen järjestelmässä on kyseisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien osalta määritettävä matala, korotettu ja korkea varmuustaso.

(2)

On olennaisen tärkeää määrittää tekniset vähimmäiseritelmät, -standardit ja -menettelyt, jotta voidaan varmistaa yhteisymmärrys varmuustasojen yksityiskohdista ja yhteentoimivuus ilmoitettujen sähköisen tunnistamisen järjestelmien kansallisten varmuustasojen kartoittamisessa suhteessa 8 artiklan mukaisiin varmuustasoihin asetuksen (EU) N:o 910/2014 12 artiklan 4 kohdan b alakohdassa säädetyllä tavalla.

(3)

Kansainvälinen ISO/IEC 29115 -standardi on otettu huomioon tässä täytäntöönpanosäädöksessä vahvistettuja eritelmiä ja menettelyjä varten ensisijaisena kansainvälisenä standardina, joka on sovellettavissa sähköisen tunnistamisen menetelmien varmuustasojen alalla. Asetuksen (EU) N:o 910/2014 sisältö poikkeaa kuitenkin tästä kansainvälisestä standardista erityisesti henkilöllisyyden todistamista ja varmentamista koskevien vaatimusten osalta sekä siinä, miten jäsenvaltioissa käytettävien identiteetin hallintajärjestelmien ja EU:ssa samaan tarkoituksen käytössä olevien välineiden väliset erot otetaan huomioon. Tämän vuoksi liitteessä ei pitäisi viitata ISO/IEC 29115 -standardin konkreettiseen sisältöön, vaikka liite perustuu kyseiseen kansainväliseen standardiin.

(4)

Tämä asetus on laadittu käyttämällä tuloksiin perustuvaa tarkoituksenmukaisinta lähestymistapaa, mikä näkyy myös käytetyissä termien ja käsitteiden määritelmissä. Niissä otetaan huomioon asetuksen (EU) N:o 910/2014 tavoite liittyen sähköisen tunnistamisen menetelmien varmuustasoihin. Tämän vuoksi laajamittainen STORK-pilottihanke ja siinä laaditut eritelmät sekä ISO/IEC 29115 -standardin määritelmät ja käsitteet olisi otettava mahdollisimman pitkälti huomioon tässä täytäntöönpanosäädöksessä vahvistettavissa eritelmissä ja menettelyissä.

(5)	Riippuen asiayhteydestä, jossa henkilöllisyyden todistamiseen liittyvä näkökohta on varmennettava, luotettava lähde voi olla erityyppinen, esimerkiksi rekisteri, asiakirja tai elin. Luotettavat lähteet voivat olla erilaisia eri jäsenvaltioissa jopa samanlaisessa asiayhteydessä.

(6)

Henkilöllisyyden todistamista ja varmentamista koskevissa vaatimuksissa olisi otettava huomioon eri järjestelmät ja käytännöt ja samalla varmistettava riittävän suuri varmuus, jotta voidaan luoda tarvittava luottamus. Sen vuoksi menettelyjä, joita on käytetty aiemmin muuhun tarkoitukseen kuin sähköisen tunnistamisen menetelmien myöntämiseen, olisi voitava hyväksyä ainoastaan varmistuttaessa siitä, että kyseiset menettelyt täyttävät vastaavaa varmuustasoa varten vahvistetut vaatimukset.

(7)	Yleensä käytetään tiettyjä todentamistekijöitä, kuten yhteisesti salattuja tietoja, fyysisiä laitteita ja fyysisiä ominaisuuksia. Todentamistekijöiden lisäämistä etenkin muista tekijöiden luokista olisi kannustettava, jotta voidaan parantaa todentamismenettelyn turvallisuutta.

(8)	Tämä asetus ei saisi vaikuttaa oikeushenkilöiden edustamisoikeuksiin. Liitteessä olisi kuitenkin vahvistettava vaatimukset luonnollisten ja oikeushenkilöiden sähköisen tunnistamisen menetelmien välisestä kytköksestä.

(9)	Olisi tunnustettava tietoturvallisuus- ja palvelunhallintajärjestelmien tärkeys sekä se, että on tärkeää käyttää hyväksyttyjä menetelmiä ja soveltaa standardien, kuten sarjojen ISO/IEC 27000 ja ISO/IEC 20000 standardien, periaatteita.

(10)	Varmuustasoihin liittyvät jäsenvaltioiden hyvät käytännöt olisi myös otettava huomioon.

(11)	Kansainvälisiin standardeihin perustuva tietotekninen tietoturvasertifiointi on tärkeä väline tarkastettaessa, vastaavatko tuotteet turvallisuudeltaan tämän täytäntöönpanosäädöksen vaatimuksia.

(12)	Asetuksen (EY) N:o 910/2014 48 artiklassa tarkoitettu komitea ei antanut lausuntoa puheenjohtajansa asettamassa määräajassa,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

1. Ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien matala, korotettu ja korkea varmuustaso on määritettävä käyttäen liitteessä esitettyjä eritelmiä ja menettelyjä.

2. Liitteessä esitettyjä eritelmiä ja menettelyjä on käytettävä ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien varmuustason täsmentämiseksi määrittämällä seuraavien osatekijöiden luotettavuus ja laatu:

a)	rekisteröinti, joka määritellään tämän asetuksen liitteessä olevassa 2.1 kohdassa asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan a alakohdan mukaisesti;

b)	sähköisen tunnistamisen menetelmien hallinta, joka määritellään tämän asetuksen liitteessä olevassa 2.2 kohdassa asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan b ja f alakohdan mukaisesti;

c)	todentaminen, joka määritellään tämän asetuksen liitteessä olevassa 2.3 kohdassa asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan c alakohdan mukaisesti;

d)	hallinnointi ja organisointi, jotka määritellään tämän asetuksen liitteessä olevassa 2.4 kohdassa asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan d ja e alakohdan mukaisesti.

3. Jos ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnetty sähköisen tunnistamisen menetelmä täyttää vaatimuksen korkeammalla varmuustasolla, sen katsotaan täyttävän vastaavan vaatimuksen myös matalammalla varmuustasolla.

4. Jollei liitteen asianomaisessa osassa toisin mainita, kaikki osatekijät, jotka liitteessä luetellaan ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnetyn sähköisen tunnistamisen menetelmän tietyn varmuustason osalta, on täytettävä ilmoitetun varmuustason saavuttamiseksi.

2 artikla

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 8 päivänä syyskuuta 2015.

Komission puolesta

Puheenjohtaja

Jean-Claude JUNCKER

(1) EUVL L 257, 28.8.2014, s. 73.

LIITE

Tekniset eritelmät ja menettelyt ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien matalaa, korotettua ja korkeaa varmuustasoa varten

1. Sovellettavat määritelmät

Tässä liitteessä sovelletaan seuraavia määritelmiä:

1)	’luotettavalla lähteellä’ tarkoitetaan mitä tahansa sellaista lähdettä muodosta riippumatta, josta voidaan luotettavasti saada paikkansapitäviä tietoja ja/tai todisteita, joita voidaan käyttää henkilöllisyyden todistamiseen;

’todentamistekijällä’ tarkoitetaan tekijää, joka on vahvistettu henkilöön kytkeytyväksi ja joka kuuluu johonkin seuraavista luokista:

a)	’hallussapitoon perustavalla todentamistekijällä’ tarkoitetaan todentamistekijää, jonka henkilön on osoitettava olevan hallussaan;

b)	’tiedossaoloon perustavalla todentamistekijällä’ tarkoitetaan todentamistekijää, jonka henkilön on osoitettava olevan tiedossaan;

c)	’luontaisella todentamistekijällä’ tarkoitetaan todentamistekijää, joka perustuu johonkin luonnollisen henkilön fyysiseen ominaisuuteen, jonka henkilön on osoitettava fyysiseksi ominaisuudekseen;

’dynaamisella todentamisella’ tarkoitetaan sähköistä prosessia, jossa käytetään salausta tai muita tekniikoita, joiden avulla voidaan pyynnöstä luoda sähköinen todiste siitä, että henkilöllä on hallinnassaan tai hallussaan tunnistetiedot, sekä muuttaa sitä jokaisessa uudessa henkilön ja hänen henkilöllisyytensä varmentavan järjestelmän välillä tapahtuvassa todentamisessa;

4)	’tietoturvallisuuden hallintajärjestelmällä’ tarkoitetaan prosesseja ja menettelyjä, joiden tarkoituksena on pitää tietoturvallisuuteen liittyvät riskit hyväksyttävällä tasolla.

2. Tekniset eritelmät ja menettelyt

Tässä liitteessä esitettyjen teknisten eritelmien ja menettelyjen osatekijöitä käytetään määriteltäessä, miten asetuksen (EU) N:o 910/2014 8 artiklan vaatimuksia ja perusteita on sovellettava sähköisen tunnistamisen järjestelmän puitteissa myönnettyihin sähköisen tunnistamisen menetelmiin.

2.1 Rekisteröinti

2.1.1 Hakemus ja rekisteröinti

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Varmistetaan, että hakija on tietoinen sähköisen tunnistamisen menetelmien käyttöön liittyvistä ehdoista ja edellytyksistä.

2.	Varmistetaan, että hakija on tietoinen sähköisen tunnistamisen menetelmiin liittyvistä suositelluista varotoimista.

3.	Kerätään asiaankuuluvat tunnistetiedot, jotka tarvitaan henkilöllisyyden todistamista ja varmentamista varten.

Korotettu

Sama kuin tasolla ”matala”.

Korkea

Sama kuin tasolla ”matala”.

2.1.2 Henkilöllisyyden todistaminen ja varmentaminen (luonnollinen henkilö)

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Henkilöllä voidaan olettaa olevan hallussaan sen jäsenvaltion hyväksymä todiste ilmoitetusta henkilöllisyydestä, jossa sähköisen tunnistamisen menetelmää haetaan.

2.	Todisteen voidaan olettaa olevan aito tai luotettavan lähteen mukaan olemassa oleva, ja se näyttää olevan voimassa.

3.	Luotettavan lähteen tiedossa on, että ilmoitettu henkilöllisyys on olemassa, ja voidaan olettaa, että henkilöllisyyden ilmoittaneella henkilöllä on tämä sama henkilöllisyys.

Korotettu

Sama kuin tasolla ”matala”, minkä lisäksi yhden kohdissa 1–4 mainituista vaihtoehdoista on täytyttävä:

Henkilöllä on varmennettu olevan hallussaan sen jäsenvaltion hyväksymä todiste ilmoitetusta henkilöllisyydestä, jossa sähköisen tunnistamisen menetelmää haetaan

todiste on tarkastettu sen varmistamiseksi, että se on aito; tai luotettavasta lähteestä tiedetään sen olevan olemassa ja liittyvän todelliseen henkilöön

on ryhdytty toimiin sen riskin minimoimiseksi, että henkilön henkilöllisyys ei ole ilmoitettu henkilöllisyys, ml. riski siitä, että todiste on kadonnut tai varastettu tai sen voimassaolo on keskeytetty, peruutettu tai päättynyt;

tai

henkilöllisyystodistus esitetään rekisteröintiprosessin aikana siinä jäsenvaltiossa, jossa todistus on myönnetty, ja todistus näyttää liittyvän sen esittäneeseen henkilöön

on ryhdytty toimiin sen riskin minimoimiseksi, että henkilön henkilöllisyys ei ole ilmoitettu henkilöllisyys, ml. riski siitä, että todistus on kadonnut tai varastettu tai sen voimassaolo on keskeytetty, peruutettu tai päättynyt;

tai

Jos julkisen tai yksityisen tahon samassa jäsenvaltiossa aiemmin muuhun tarkoitukseen kuin sähköisen tunnistamisen menetelmien myöntämiseen käyttämät menettelyt tarjoavat vastaavan varmuuden kuin 2.1.2. kohdassa esitetyt menettelyt varmuustasolla ”korotettu”, rekisteröinnistä vastaavan tahon ei tarvitse toistaa kyseisiä aiempia menettelyjä edellyttäen, että tällaisen vastaavantasoisen varmuuden on vahvistanut Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (1) 2 artiklan 13 kohdassa tarkoitettu vaatimustenmukaisuuden arviointilaitos tai vastaava elin;

tai

Jos sähköisen tunnistamisen menetelmiä myönnetään sellaisen voimassa olevan ilmoitetun sähköisen tunnistamisen menetelmän perusteella, jonka varmuustaso on ”korotettu” tai ”korkea”, ja ottaen huomioon riskit henkilön tunnistetiedoissa tapahtuvista muutoksista, henkilöllisyyden todistamis- ja varmentamismenettelyjä ei tarvitse toistaa. Jos perustana olevaa sähköisen tunnistamisen menetelmää ei ole ilmoitettu, varmuustason ”korotettu” tai ”korkea” on oltava asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen tai vastaavan elimen vahvistama.

Korkea

Joko kohdan 1 tai 2 vaatimusten on täytyttävä:

Sama kuin tasolla ”korotettu”, minkä lisäksi yhden kohdissa a–c mainituista vaihtoehdoista on täytyttävä:

Jos henkilöllä on varmennettu olevan hallussaan sen jäsenvaltion hyväksymä valokuva tai biometrinen tunniste, jossa sähköisen tunnistamisen menetelmää haetaan, ja kyseinen todiste edustaa ilmoitettua henkilöllisyyttä, todiste tarkistetaan sen määrittämiseksi, onko se luotettavan lähteen mukaan voimassa;

hakijalla todetaan olevan ilmoitettu henkilöllisyys vertaamalla yhtä tai useampaa henkilön fyysistä ominaisuutta luotettavaan lähteeseen;

tai

Jos julkisen tai yksityisen tahon samassa jäsenvaltiossa aiemmin muuhun tarkoitukseen kuin sähköisen tunnistamisen menetelmien myöntämiseen käyttämät menettelyt tarjoavat vastaavan varmuuden kuin 2.1.2 kohdassa esitetyt menettelyt varmuustasolla ”korkea”, rekisteröinnistä vastaavan tahon ei tarvitse toistaa kyseisiä aiempia menettelyjä edellyttäen, että tällaisen vastaavantasoisen varmuuden on vahvistanut asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitettu vaatimustenmukaisuuden arviointilaitos tai vastaava elin

on ryhdytty toimiin sen osoittamiseksi, että aiempien menettelyjen tulokset ovat edelleen voimassa;

tai

Jos sähköisen tunnistamisen menetelmiä myönnetään sellaisen voimassa olevan ilmoitetun sähköisen tunnistamisen menetelmän perusteella, jonka varmuustaso on ”korkea”, ja ottaen huomioon riskit henkilön tunnistetiedoissa tapahtuvista muutoksista, henkilöllisyyden todistamis- ja varmentamismenettelyjä ei tarvitse toistaa. Jos perustana olevaa sähköisen tunnistamisen menetelmää ei ole ilmoitettu, varmuustason ”korkea” on oltava asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen tai vastaavan elimen vahvistama

on ryhdytty toimiin sen osoittamiseksi, että sen menettelyn tulokset, jossa ilmoitettu sähköisen tunnistamisen menetelmä aiemmin myönnettiin, ovat edelleen voimassa.

TAI

2.	Jos hakija ei esitä valokuvaa tai biometristä tunnistetta, sovelletaan samoja menettelyjä, joita tällaisen hyväksytyn valokuvan tai biometrisen todisteen saamiseksi käytetään kansallisella tasolla rekisteröinnistä vastaavan tahon jäsenvaltiossa.

2.1.3 Henkilöllisyyden todistaminen ja varmentaminen (oikeushenkilö)

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Oikeushenkilön ilmoitettu henkilöllisyys osoitetaan sen jäsenvaltion hyväksymällä todisteella, jossa sähköisen tunnistamisen menetelmää haetaan.

2.	Todiste näyttää olevan voimassa ja sen voidaan olettaa olevan aito tai luotettavan lähteen mukaan olemassa oleva, jos oikeushenkilön kirjaaminen luotettavaan lähteeseen on vapaaehtoista ja sitä säännellään oikeushenkilön ja luotettavan lähteen välisellä järjestelyllä.

3.	Luotettavan lähteen tiedossa ei ole, että oikeushenkilö olisi asemassa, joka estää sitä toimimasta kyseisenä oikeushenkilönä.

Korotettu

Sama kuin tasolla ”matala”, minkä lisäksi yhden kohdissa 1–3 mainituista vaihtoehdoista on täytyttävä:

Oikeushenkilön ilmoitettu henkilöllisyys osoitetaan sen jäsenvaltion hyväksymällä todisteella, jossa sähköisen tunnistamisen menetelmää haetaan ja jossa mainitaan oikeushenkilön nimi, oikeudellinen muoto ja (tapauksen mukaan) rekisterinumero.

todiste tarkistetaan sen määrittämiseksi, onko se on aito tai luotettavan lähteen mukaan olemassa oleva, jos oikeushenkilön kirjaaminen luotettavaan lähteeseen on pakollinen ehto oikeushenkilön toiminnalle

on ryhdytty toimiin sen riskin minimoimiseksi, että oikeushenkilön henkilöllisyys ei ole ilmoitettu henkilöllisyys, ml. riski siitä, että todistus on kadonnut tai varastettu tai sen voimassaolo on keskeytetty, peruutettu tai päättynyt;

tai

Jos julkisen tai yksityisen tahon samassa jäsenvaltiossa aiemmin muuhun tarkoitukseen kuin sähköisen tunnistamisen menetelmien myöntämiseen käyttämät menettelyt tarjoavat vastaavan varmuuden kuin 2.1.3. kohdassa esitetyt menettelyt varmuustasolla ”korotettu”, rekisteröinnistä vastaavan tahon ei tarvitse toistaa kyseisiä aiempia menettelyjä edellyttäen, että tällaisen vastaavantasoisen varmuuden on vahvistanut asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitettu vaatimustenmukaisuuden arviointilaitos tai vastaava elin;

tai

Jos sähköisen tunnistamisen menetelmiä myönnetään sellaisen voimassa olevan ilmoitetun sähköisen tunnistamisen menetelmän perusteella, jonka varmuustaso on ”korotettu” tai ”korkea”, henkilöllisyyden todistamis- ja varmentamismenettelyjä ei tarvitse toistaa. Jos perustana olevaa sähköisen tunnistamisen menetelmää ei ole ilmoitettu, varmuustason ”korotettu” tai ”korkea” on oltava asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen tai vastaavan elimen vahvistama.

Korkea

Sama kuin tasolla ”korotettu”, minkä lisäksi yhden kohdissa 1–3 mainituista vaihtoehdoista on täytyttävä:

todiste on tarkastettu sen varmistamiseksi, että se on luotettavan lähteen mukaan voimassa;

tai

Jos julkisen tai yksityisen tahon samassa jäsenvaltiossa aiemmin muuhun tarkoitukseen kuin sähköisen tunnistamisen menetelmien myöntämiseen käyttämät menettelyt tarjoavat vastaavan varmuuden kuin 2.1.3 kohdassa esitetyt menettelyt varmuustasolla ”korkea”, rekisteröinnistä vastaavan tahon ei tarvitse toistaa kyseisiä aiempia menettelyjä edellyttäen, että tällaisen vastaavantasoisen varmuuden on vahvistanut asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitettu vaatimustenmukaisuuden arviointilaitos tai vastaava elin

on ryhdytty toimiin sen osoittamiseksi, että kyseisen aiemman menettelyn tulokset ovat edelleen voimassa;

tai

Jos sähköisen tunnistamisen menetelmiä myönnetään sellaisen voimassa olevan ilmoitetun sähköisen tunnistamisen menetelmän perusteella, jonka varmuustaso on ”korkea”, henkilöllisyyden todistamis- ja varmentamismenettelyjä ei tarvitse toistaa. Jos perustana olevaa sähköisen tunnistamisen menetelmää ei ole ilmoitettu, varmuustason ”korkea” on oltava asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen tai vastaavan elimen vahvistama

on ryhdytty toimiin sen osoittamiseksi, että sen menettelyn tulokset, jossa ilmoitettu sähköisen tunnistamisen menetelmä aiemmin myönnettiin, ovat edelleen voimassa.

2.1.4 Luonnollisten ja oikeushenkilöiden sähköisen tunnistamisen menetelmien välinen kytkös

Luonnollisen henkilön sähköisen tunnistamisen menetelmän ja oikeushenkilön sähköisen tunnistamisen menetelmän väliseen kytkökseen (jäljempänä tässä liitteessä ”kytkös”) sovelletaan soveltuvin osin seuraavia ehtoja:

1)	Kytköksen voimassaolo on voitava keskeyttää ja/tai peruuttaa. Kytköksen elinkaarta (esim. aktivointi, voimassaolon keskeyttäminen, uusiminen tai peruuttaminen) hallinnoidaan kansallisesti hyväksyttyjen menettelyjen mukaisesti.

Luonnollinen henkilö, jonka sähköisen tunnistamisen menetelmä kytketään oikeushenkilön sähköisen tunnistamisen menetelmään, voi siirtää kytköksen toteuttamisen toiselle luonnolliselle henkilölle kansallisesti hyväksyttyjen menettelyjen mukaisesti. Vastuu säilyy kuitenkin siirtävällä luonnollisella henkilöllä.

Kytkös on tehtävä seuraavalla tavalla:

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Oikeushenkilön puolesta toimivan luonnollisen henkilön henkilöllisyyden todistamisen varmennetaan tapahtuneen vähintään tasolla ”matala”.

2.	Kytkös on vahvistettu kansallisesti hyväksyttyjen menettelyjen mukaisesti.

3.	Luotettavan lähteen tiedossa ei ole, että luonnollinen henkilö olisi asemassa, joka estää häntä toimimasta oikeushenkilön puolesta.

Korotettu

Tason ”matala” 3 kohta lisättynä seuraavalla:

1.	Oikeushenkilön puolesta toimivan luonnollisen henkilön henkilöllisyyden todistamisen varmennetaan tapahtuneen tasolla ”korotettu” tai ”korkea”.

2.	Kytkös on vahvistettu kansallisesti hyväksyttyjen menettelyjen mukaisesti, joiden tuloksena kytkös on kirjattu luotettavaan lähteeseen.

3.	Kytkös on varmennettu luotettavasta lähteestä saatavan tiedon perusteella.

Korkea

Tason ”matala” 3 kohta ja tason ”korotettu” 2 kohta lisättynä seuraavalla:

1.	Oikeushenkilön puolesta toimivan luonnollisen henkilön henkilöllisyyden todistamisen varmennetaan tapahtuneen tasolla ”korkea”.

2.	Kytkös on varmennettu kansallisessa yhteydessä käytetyn oikeushenkilöä edustavan yksilöllisen tunnisteen perusteella ja luotettavasta lähteestä saatavan, luonnollista henkilöä yksilöivästi edustavan tiedon perusteella.

2.2 Sähköisen tunnistamisen menetelmien hallinta

2.2.1 Sähköisen tunnistamisen menetelmien ominaispiirteet ja suunnittelu

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Sähköisen tunnistamisen menetelmässä käytetään vähintään yhtä todentamistekijää.

2.	Sähköisen tunnistamisen menetelmä on suunniteltu siten, että myöntäjä toteuttaa kohtuulliset toimenpiteet tarkistaakseen, että sitä käytetään vain sen henkilön hallinnassa tai hallussa, jolle se kuuluu.

Korotettu

1.	Sähköisen tunnistamisen menetelmässä käytetään vähintään kahta todentamistekijää eri luokista.

2.	Sähköisen tunnistamisen menetelmä on suunniteltu siten, että sitä voidaan olettaa käytettävän vain, jos se on sen henkilön hallinnassa tai hallussa, jolle se kuuluu.

Korkea

Taso ”korotettu” lisättynä seuraavalla:

1.	Sähköisen tunnistamisen menetelmä on suojattu toisintamiselta ja väärentämiseltä sekä hyökkäyksiltä, joiden vakavuusaste on korkea (”high”).

2.	Sähköisen tunnistamisen menetelmä on suunniteltu niin, että henkilö, jolle se kuuluu, voi suojata sen luotettavasti muiden käytöltä.

2.2.2 Myöntäminen, toimittaminen ja aktivointi

Varmuustaso	Tarvittavat osatekijät
Matala	Sähköisen tunnistamisen menetelmän myöntämisen jälkeen se toimitetaan käyttäen mekanismia, jonka kautta sen voidaan olettaa saavuttavan vain aiotun henkilön.
Korotettu	Sähköisen tunnistamisen menetelmän myöntämisen jälkeen se toimitetaan käyttäen mekanismia, jonka kautta se voidaan olettaa toimitettavan vain sen henkilön haltuun, jolle se kuuluu.
Korkea	Aktivointiprosessi varmistaa, että sähköisen tunnistamisen menetelmä on toimitettu vain sen henkilön haltuun, jolle se kuuluu.

2.2.3 Voimassaolon keskeyttäminen, peruuttaminen ja uudelleenaktivointi

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Sähköisen tunnistamisen menetelmän voimassaolo on mahdollista keskeyttää ja/tai peruuttaa viivyttelemättä ja tehokkaasti.

2.	Käytössä ovat toimenpiteet, joilla estetään voimassaolon luvaton keskeyttäminen, peruuttaminen ja/tai uudelleenaktivointi.

3.	Uudelleenaktivoinnin ehtona on, että ennen voimassaolon keskeyttämistä tai peruuttamista asetetut varmuusvaatimukset täyttyvät edelleen.

Korotettu

Sama kuin tasolla ”matala”.

Korkea

Sama kuin tasolla ”matala”.

2.2.4 Uusiminen ja korvaaminen

Varmuustaso	Tarvittavat osatekijät
Matala	Ottaen huomioon riskit henkilön tunnistetiedoissa tapahtuvista muutoksista uusimisen tai korvaamisen on täytettävä samat varmuusvaatimukset kuin henkilöllisyyden alkuperäisen todistamisen ja varmentamisen yhteydessä tai sen on perustuttava saman tai korkeamman varmuustason voimassa olevaan sähköisen tunnistamisen menetelmään.
Korotettu	Sama kuin tasolla ”matala”.
Korkea	Taso ”matala” lisättynä seuraavalla: Jos uusiminen tai korvaaminen perustuu voimassa olevaan sähköisen tunnistamisen menetelmään, tunnistetiedot varmennetaan luotettavasta lähteestä.

2.3 Todentaminen

Tässä jaksossa käsitellään todentamismekanismin käyttöön liittyviä uhkia ja luetellaan vaatimukset kullekin varmuustasolle. Tässä jaksossa turvatoimenpiteet on ymmärrettävä suhteutettuina riskeihin kulloisellakin tasolla.

2.3.1 Todentamismekanismi

Seuraavassa taulukossa esitetään vaatimukset varmuustasoittain todentamismekanismista, jolla luonnollinen tai oikeushenkilö käyttää sähköisen tunnistamisen menetelmää vahvistaakseen henkilöllisyytensä luottavalle osapuolelle.

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Henkilön tunnistetietojen luovutusta edeltää sähköisen tunnistamisen menetelmän ja sen voimassaolon luotettava varmentaminen.

2.	Jos henkilön tunnistetiedot tallennetaan osana todentamismekanismia, nämä tiedot on suojattu niiden menetykseltä ja vaarantamiselta, mukaan lukien analyysi verkkoympäristön ulkopuolella.

Todentamismekanismissa toteutetaan turvatoimenpiteitä sähköisen tunnistamisen menetelmän varmentamiseksi siten, että on erittäin epätodennäköistä, että viestin arvaaminen, salakuuntelu, toisto tai manipulointi hyökkäyksessä, jonka vakavuusaste on korkeampaa perustasoa (”enhanced-basic”), voi heikentää todentamismekanismeja.

Korotettu

Taso ”matala” lisättynä seuraavalla:

1.	Henkilön tunnistetietojen luovutusta edeltää sähköisen tunnistamisen menetelmän ja sen voimassaolon luotettava varmentaminen käyttämällä dynaamista todentamista.

Todentamismekanismissa toteutetaan turvatoimenpiteitä sähköisen tunnistamisen menetelmän varmentamiseksi siten, että on erittäin epätodennäköistä, että viestin arvaaminen, salakuuntelu, toisto tai manipulointi hyökkäyksessä, jonka vakavuusaste on kohtuullinen (”moderate”), voi heikentää todentamismekanismeja.

Korkea

Taso ”korotettu” lisättynä seuraavalla:

Todentamismekanismissa toteutetaan turvatoimenpiteitä sähköisen tunnistamisen menetelmän varmentamiseksi siten, että on erittäin epätodennäköistä, että viestin arvaaminen, salakuuntelu, toisto tai manipulointi hyökkäyksessä, jonka vakavuusaste on korkea (”high”), voi heikentää todentamismekanismeja.

2.4 Hallinto ja organisointi

Kaikilla osallistujilla, jotka tarjoavat sähköiseen tunnistamiseen liittyvää rajat ylittävää palvelua (jäljempänä tässä liitteessä ”palveluntarjoajat”), on oltava käytössä dokumentoidut tietoturvallisuuden hallintakäytännöt, toimintaperiaatteet, lähestymistavat riskien hallintaan ja muut hyväksytyt turvatoimenpiteet siten, että asiaankuuluvilla sähköisen tunnistamisen järjestelmien hallintoelimillä on kyseeseen tulevissa jäsenvaltioissa varmuus siitä, että tehokkaat menettelyt ovat käytössä. Kaikki 2.4 jakson vaatimukset/osatekijät on ymmärrettävä suhteutettuina riskeihin kulloisellakin tasolla.

2.4.1 Yleiset säännökset

Varmuustaso

Tarvittavat osatekijät

Matala

Palveluntarjoajat, jotka tarjoavat tämän asetuksen soveltamisalaan kuuluvaa operatiivista palvelua, ovat viranomaisia tai jäsenvaltion lainsäädännössä tunnustettuja oikeushenkilöitä, joilla on vakiintunut organisaatio ja jotka ovat täysin toiminnallisia kaikilla palvelujen tarjoamisen kannalta merkityksellisillä toimintalohkoilla.

Tarjoajat täyttävät kaikki oikeudelliset vaatimukset, jotka koskevat niitä liittyen palvelun harjoittamiseen ja tarjoamiseen, mukaan lukien niiden tietojen luokat, joita voidaan pyytää, henkilöllisyyden todistamistavat sekä tiedot, joita voidaan säilyttää, ja ajanjaksot, joiden ajan niitä voidaan säilyttää.

3.	Palveluntarjoajat voivat osoittaa valmiutensa ottaa vahinkovastuuriski, ja niillä on riittävät taloudelliset varat turvata toiminnan jatkuminen ja palvelujen tarjoaminen.

4.	Palveluntarjoajat ovat vastuussa mahdollisten muille tahoille ulkoistettujen sitoumusten täyttämisestä ja järjestelmän toimintaperiaatteiden noudattamisesta samalla tavoin kuin jos palveluntarjoajat olisivat suorittaneet tehtävät itse.

Sähköisen tunnistamisen järjestelmille, jotka eivät perustu kansalliseen lakiin, on oltava tehokas suunnitelma järjestelmän päättämisen varalta. Tällaisen suunnitelman on sisällettävä palvelun hallittu lopettaminen tai siirto toiselle palveluntarjoajalle, tapa ilmoittaa tästä asiaankuuluville viranomaisille ja loppukäyttäjille sekä tiedot siitä, miten järjestelmään kirjatut tiedot suojataan, säilytetään ja hävitetään järjestelmän toimintaperiaatteiden mukaisesti.

Korotettu

Sama kuin tasolla ”matala”.

Korkea

Sama kuin tasolla ”matala”.

2.4.2 Julkaistut ilmoitukset ja käyttäjätiedot

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Käytössä on julkaistu palvelun määritelmä, joka sisältää kaikki sovellettavat ehdot, edellytykset ja maksut, mukaan lukien mahdolliset käyttörajoitukset. Palvelun määritelmään on sisällytettävä tietosuojaperiaatteet.

Käyttöön on otettava asianmukaiset toimintaperiaatteet ja menettelyt sen varmistamiseksi, että palvelun käyttäjille ilmoitetaan hyvissä ajoin ja luotettavasti kaikista muutoksista palvelun määritelmässä ja sovellettavissa ehdoissa, edellytyksissä ja tietosuojaperiaatteissa kulloisenkin palvelun osalta.

3.	Käyttöön on otettava asianmukaiset toimintaperiaatteet ja menettelyt, jotta voidaan antaa asianmukaiset ja täydelliset vastaukset tietopyyntöihin.

Korotettu

Sama kuin tasolla ”matala”.

Korkea

Sama kuin tasolla ”matala”.

2.4.3 Tietoturvallisuuden hallinta

Varmuustaso	Tarvittavat osatekijät
Matala	Käytössä on tehokas tietoturvallisuuden hallintajärjestelmä tietoturvaan liittyviä riskien hallintaa ja valvontaa varten.
Korotettu	Taso ”matala” lisättynä seuraavalla: Tietoturvallisuuden hallintajärjestelmässä noudatetaan vakiintuneita standardeja tietoturvaan liittyviä riskien hallintaa ja valvontaa varten.
Korkea	Sama kuin tasolla ”korotettu”.

2.4.4 Tietojen säilyttäminen

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Asiaankuuluvat tiedot kirjataan ja säilytetään käyttämällä tehokasta tiedonhallintajärjestelmää ottaen huomioon sovellettava lainsäädäntö ja tietosuojaan ja tietojen säilyttämiseen liittyvät hyvät käytännöt.

Järjestelmään kirjatut tiedot säilytetään siltä osin kuin tämä on kansallisen lainsäädännön tai muun kansallisen hallinnollisen järjestelyn mukaan sallittua ja suojataan niin kauan kuin niitä tarvitaan tarkastuksia ja tietoturvaloukkausten tutkimista varten ja säilytetään siihen asti, kun tiedot hävitetään turvallisesti.

Korotettu

Sama kuin tasolla ”matala”.

Korkea

Sama kuin tasolla ”matala”.

2.4.5 Tilat ja henkilökunta

Seuraavassa taulukossa esitetään vaatimukset, jotka koskevat tiloja ja henkilöstöä sekä tarvittaessa alihankkijoita, jotka suorittavat tämän asetuksen soveltamisalaan kuuluvia tehtäviä. Kunkin vaatimuksen noudattaminen on suhteutettava siihen, minkä tasoinen riski tarjottavaan varmuustasoon liittyy.

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Käytössä on menettelyt, joilla varmistetaan, että henkilöstöllä ja alihankkijoilla on riittävä koulutus, pätevyys ja kokemus taidoissa, joita he tarvitsevat suorittaakseen tehtävänsä.

2.	Käytössä on riittävästi henkilöstöä ja alihankkijoita, jotta palvelua voidaan toteuttaa ja resursoida asianmukaisesti sen toimintaperiaatteiden ja menettelyjen mukaisesti.

3.	Palvelun tarjoamiseen käytetyt tilat ovat jatkuvasti seurattuja ja suojattuja ympäristötapahtumien aiheuttamilta vahingoilta, luvattomalta käytöltä ja muilta tekijöiltä, jotka voivat vaikuttaa palvelun turvallisuuteen.

4.	Palvelun tarjoamiseen käytetyissä tiloissa varmistetaan, että pääsy alueille, joilla säilytetään tai käsitellään henkilötietoja, salattuja tietoja tai muita arkaluonteisia tietoja, rajoitetaan koskemaan valtuutettuja henkilöstön jäseniä tai alihankkijoita.

Korotettu

Sama kuin tasolla ”matala”.

Korkea

Sama kuin tasolla ”matala”.

2.4.6 Tekniset tarkastukset

Varmuustaso

Tarvittavat osatekijät

Matala

1.	Käytössä on oikeasuhteiset tekniset tarkastukset palvelujen turvallisuuteen kohdistuvien riskien hallitsemiseksi ja käsiteltävien tietojen luottamuksellisuuden, eheyden ja käytettävyyden suojaamiseksi.

2.	Henkilökohtaisten tai arkaluonteisten tietojen vaihtoa varten käytettävät sähköisen viestinnän kanavat on suojattu salakuuntelulta, manipuloinnilta ja toistolta.

Pääsy arkaluonteiseen salaustekniseen aineistoon, jota käytetään sähköisen tunnistamisen menetelmien myöntämiseen sekä todentamiseen, rajoitetaan tiukasti niihin tehtäviin ja sovelluksiin, jotka edellyttävät tällaista pääsyä. On varmistettava, ettei tällaista aineistoa koskaan tallenneta pysyväisluonteisesti ilmitekstinä.

4.	Käytössä on menettelyt, joilla varmistetaan, että turvallisuus säilyy ja että kyetään vastaamaan muutoksiin riskitasoissa, poikkeamiin ja tietoturvaloukkauksiin.

5.	Kaikki laitteet ja välineet, jotka sisältävät henkilötietoja, salattuja tietoja tai muita arkaluonteisia tietoja, säilytetään, kuljetetaan ja hävitetään turvallisella ja varmalla tavalla.

Korotettu

Sama kuin tasolla ”matala” lisättynä seuraavalla:

Arkaluonteinen salaustekninen aineisto, jota käytetään sähköisen tunnistamisen menetelmien myöntämiseen sekä todentamiseen, on suojattu luvattomalta käsittelyltä.

Korkea

Sama kuin tasolla ”korotettu”.

2.4.7 Noudattaminen ja tarkastus

Varmuustaso

Tarvittavat osatekijät

Matala

Määräajoin tehdään sisäisiä tarkastuksia, jotka kattavat kaikki palvelujen tarjonnan kannalta merkitykselliset toimintalohkot, jotta voidaan varmistaa sovellettavien toimintaperiaatteiden noudattaminen.

Korotettu

Määräajoin tehdään riippumattomia sisäisiä tai ulkoisia tarkastuksia, jotka kattavat kaikki palvelujen tarjonnan kannalta merkitykselliset toimintalohkot, jotta voidaan varmistaa sovellettavien toimintaperiaatteiden noudattaminen.

Korkea

1.	Määräajoin tehdään riippumattomia ulkoisia tarkastuksia, jotka kattavat kaikki palvelujen tarjonnan kannalta merkitykselliset toimintalohkot, jotta voidaan varmistaa sovellettavien toimintaperiaatteiden noudattaminen.

2.	Jos järjestelmää hallinnoi suoraan julkinen elin, tarkastukset tehdään kansallisen lainsäädännön mukaisesti.

(1) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).

9.9.2015

Euroopan unionin virallinen lehti

L 235/26

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2015/1505,

annettu 8 päivänä syyskuuta 2015,

luotettujen luetteloiden teknisten eritelmien ja muotoseikkojen vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 22 artiklan 5 kohdan mukaisesti

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

sekä katsoo seuraavaa:

(1)	Luotetuilla luetteloilla on olennainen merkitys rakennettaessa luottamusta markkinatoimijoiden keskuudessa, koska ne osoittavat palveluntarjoajan aseman hetkellä, jona valvonta suoritettiin.

(2)

Sähköisten allekirjoitusten käyttöä rajojen yli on helpotettu komission päätöksellä 2009/767/EY (2), jolla jäsenvaltiot velvoitettiin laatimaan, ylläpitämään ja julkaisemaan luotettavia luetteloja, joissa on tietoa varmennepalvelujen tarjoajista, jotka myöntävät hyväksyttyjä varmenteita yleisölle Euroopan parlamentin ja neuvoston direktiivin 1999/93/EY (3) mukaisesti ja joita jäsenvaltiot valvovat tai jotka ne ovat akkreditoineet.

(3)

Asetuksen (EU) N:o 910/2014 22 artiklalla jäsenvaltiot velvoitetaan laatimaan, ylläpitämään ja julkaisemaan suojatusti sähköisesti allekirjoitettuja tai leimattuja luotettuja luetteloja muodossa, joka soveltuu automaattiseen käsittelyyn, ja ilmoittamaan komissiolle tiedot kansallisten luotettujen luettelojen laatimisesta vastaavista elimistä.

(4)

Luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut olisi katsottava hyväksytyiksi, jos hyväksytty asema liittyy luotetussa luettelossa mainittuun palveluntarjoajaan. Sen varmistamiseksi, että palveluntarjoajat voivat täyttää asetuksesta (EU) N:o 910/2014 ja erityisesti sen 27 ja 37 artiklasta johtuvat muut velvoitteet vaivatta etäältä ja sähköisesti, ja sellaisten muiden varmennepalvelujen tarjoajien oikeutettujen odotusten täyttämiseksi, jotka eivät myönnä hyväksyttyjä varmenteita vaan tarjoavat sähköisiin allekirjoituksiin liittyviä palveluja direktiivin 1999/93/EY mukaisesti ja jotka on sisällytetty luetteloon 30 päivään kesäkuuta 2016 mennessä, jäsenvaltioiden olisi voitava sisällyttää myös muita kuin hyväksyttyjä luottamuspalveluja luotettuihin luetteloihin vapaaehtoiselta pohjalta kansallisella tasolla edellyttäen, että ilmoitetaan selvästi, ettei niitä ole hyväksytty asetuksen (EU) N:o 910/2014 mukaisesti.

(5)

Asetuksen (EU) N:o 910/2014 johdanto-osan 25 kappaleen mukaisesti jäsenvaltiot voivat lisätä muun tyyppisiä kansallisesti määriteltyjä luottamuspalveluja kuin asetuksen (EU) N:o 910/2014 3 artiklan 16 kohdassa määriteltyjä luottamuspalveluja edellyttäen, että ilmoitetaan selvästi, ettei niitä ole hyväksytty asetuksen (EU) N:o 910/2014 mukaisesti.

(6)	Tässä päätöksessä säädetyt toimenpiteet ovat asetuksen (EU) N:o 910/2014 48 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Jäsenvaltioiden on laadittava, julkaistava ja ylläpidettävä luotettuja luetteloja, jotka sisältävät tietoa hyväksytyistä luottamuspalvelujen tarjoajista, joita jäsenvaltiot valvovat, ja niiden tarjoamista hyväksytyistä luottamuspalveluista. Kyseisten luettelojen on oltava liitteessä I esitettyjen teknisten eritelmien mukaisia.

2 artikla

Jäsenvaltiot voivat sisällyttää luotettuihin luetteloihin tietoa myös muista kuin hyväksytyistä luottamuspalvelun tarjoajista ja niiden tarjoamista muista kuin hyväksytyistä luottamuspalveluista. Luettelossa on ilmoitettava selkeästi, mitkä luottamuspalvelun tarjoajat ja mitkä niiden tarjoamat luottamuspalvelut eivät ole hyväksyttyjä.

3 artikla

1. Jäsenvaltioiden on asetuksen (EU) N:o 910/2014 22 artiklan 2 kohdan mukaisesti allekirjoitettava tai leimattava luotetut luettelonsa sähköisesti muodossa, joka soveltuu niiden automaattiseen käsittelyyn, liitteessä I esitettyjen teknisten eritelmien mukaisesti.

2. Jos jäsenvaltio julkaisee luotetun luettelon ihmisen luettavissa olevassa sähköisessä muodossa, sen on varmistettava, että kyseisessä muodossa oleva luotettu luettelo sisältää samat tiedot kuin automaattiseen käsittelyyn soveltuvassa muodossa oleva luettelo, ja allekirjoitettava tai leimattava se sähköisesti liitteessä I esitettyjen teknisten eritelmien mukaisesti.

4 artikla

1. Jäsenvaltioiden on ilmoitettava komissiolle asetuksen (EU) N:o 910/2014 22 artiklan 3 kohdassa tarkoitetut tiedot käyttäen liitteessä II esitettyä mallia.

2. Edellä 1 kohdassa tarkoitettujen tietojen on sisällettävä vähintään kaksi järjestelmäoperaattorin (scheme operator) julkisen avaimen varmennetta, joiden ei-samanaikaiset voimassaoloajat ovat vähintään kolme kuukautta ja jotka vastaavat yksityisiä avaimia, joita voidaan käyttää automaattiseen käsittelyyn soveltuvassa muodossa ja ihmisen luettavassa muodossa olevan luotetun luettelon allekirjoittamiseksi tai leimaamiseksi sähköisesti, kun se julkaistaan.

3. Komission asettaa asetuksen (EU) N:o 910/2014 22 artiklan 4 kohdan mukaisesti suojatusti julkisesti saataville varmennetulle palvelimelle 1 ja 2 kohdassa tarkoitetut jäsenvaltioiden ilmoittamat tiedot allekirjoitetussa tai leimatussa muodossa, joka soveltuu automaattiseen käsittelyyn.

4. Komissio voi asettaa suojatusti julkisesti saataville varmennetulle palvelimelle 1 ja 2 kohdassa tarkoitetut jäsenvaltioiden ilmoittamat tiedot allekirjoitetussa tai leimatussa ihmisen luettavassa olevassa muodossa.

5 artikla

Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä päätös on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 8 päivänä syyskuuta 2015.

Komission puolesta

Puheenjohtaja

Jean-Claude JUNCKER

(1) EUVL L 257, 28.8.2014, s. 73.

(2) Komission päätös 2009/767/EY, tehty 16 päivänä lokakuuta 2009, toimenpiteistä sähköisten menettelyjen käytön edistämiseksi keskitettyjä asiointipisteitä käyttäen palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY mukaisesti (EUVL L 274, 20.10.2009, s. 36).

(3) Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY, annettu 13 päivänä joulukuuta 1999, sähköisiä allekirjoituksia koskevista yhteisön puitteista (EYVL L 13, 19.1.2000, s. 12).

LIITE I

LUOTETTUJEN LUETTELOJEN YHTEISEN MALLIN TEKNISET ERITELMÄT

I LUKU

YLEISET VAATIMUKSET

Luotetuissa luetteloissa on oltava sekä nykyiset että kaikki aikaisemmat tiedot lueteltujen luottamuspalvelujen asemasta siitä alkaen, kun luottamuspalvelun tarjoaja sisällytettiin luotettuihin luetteloihin.

Näissä eritelmissä käytetyt käsitteet ”kelpuutettu”, ”akkreditoitu” ja/tai ”valvottu” kattavat myös kansalliset kelpuuttamisjärjestelmät, mutta mahdollisia kansallisia järjestelmiä koskevat lisätiedot annetaan jäsenvaltioiden luotetuissa luetteloissa, muun muassa selvitys mahdollisista eroista hyväksyttyihin luottamuspalvelun tarjoajiin ja niiden tarjoamiin hyväksyttyihin luottamuspalveluihin sovellettavien valvontajärjestelmien kanssa.

Luotetuissa luetteloissa annetun tiedon päätarkoituksena on ensisijaisesti tukea hyväksytyn luottamuspalvelun sanakkeiden validointia. Kyseessä ovat hyväksytyn luottamuspalvelun käytön tuloksena luodut tai myönnetyt fyysiset tai binaariset (loogiset) kohteet, kuten hyväksytyt sähköiset allekirjoitukset/leimat, hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset allekirjoitukset/leimat, hyväksytyt aikaleimat, hyväksytyt sähköiset toimitustodistukset jne.

II LUKU

LUOTETTUJEN LUETTELOJEN YHTEISEN MALLIN YKSITYISKOHTAISET ERITELMÄT

Nämä eritelmät perustuvat ETSIn teknisessä eritelmässä 119 612 v2.1.1, jäljempänä ’ETSI TS 119 612’, mainittuihin eritelmiin ja vaatimuksiin.

Jollei näissä eritelmissä mainita erityistä vaatimusta, ETSI TS 119 612:n lausekkeita 5 ja 6 pitää soveltaa sellaisenaan. Jos näissä eritelmissä on mainittu erityisiä vaatimuksia, ne ovat ensisijaisia vastaaviin ETSI TS 119 612:n vaatimuksiin nähden. Jos näiden eritelmien ja ETSI TS 119 612:sta peräisin olevien eritelmien välillä on eroja, tämän asiakirjan eritelmiä sovelletaan ensisijaisesti.

Scheme name (lauseke 5.3.6)

Tätä kenttää pitää käyttää, ja sen pitää noudattaa ETSI TS 119 612:n lausekkeen 5.3.6 eritelmiä, jolloin järjestelmästä pitää käyttää seuraavaa nimeä:

”EN_name_value”= ”Trusted list including information related to the qualified trust service providers which are supervised by the issuing Member State, together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.”

Scheme information URI (lauseke 5.3.7)

Tätä kenttää pitää käyttää, ja sen pitää noudattaa ETSI TS 119 612:n lausekkeen 5.3.7 eritelmiä, jolloin asianmukaisiin tietoihin järjestelmästä pitää sisällyttää ainakin seuraavat:

johdantotiedot, jotka ovat kaikille jäsenvaltioille yhteisiä ja koskevat luotetun luettelon soveltamisalaa ja käyttöyhteyttä, käytettyä valvontajärjestelmää sekä soveltuvin osin kansallisia kelpuuttamisjärjestelmiä (esim. akkreditointijärjestelmiä); käytettävä yhteinen teksti, jossa merkkijono ”[name of the relevant Member State]” pitää korvata kyseisen jäsenvaltion nimellä, on seuraava:

”The present list is the trusted list including information related to the qualified trust service providers which are supervised by [name of the relevant Member State], together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

The cross-border use of electronic signatures has been facilitated through Commission Decision 2009/767/EC of 16 October 2009 which has set the obligation for Member States to establish, maintain and publish trusted lists with information related to certification service providers issuing qualified certificates to the public in accordance with Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures and which are supervised/accredited by the Member States. The present trusted list is the continuation of the trusted list established with Decision 2009/767/EC.”

Luotetuilla luetteloilla on olennainen merkitys rakennettaessa luottamusta markkinatoimijoiden keskuudessa, koska käyttäjät voivat niiden avulla määrittää luottamuspalvelun tarjoajien ja niiden palvelujen hyväksytyn aseman ja sen historian.

Jäsenvaltioiden luotetut luettelot sisältävät vähintään komission täytäntöönpanopäätöksen (EU) 2015/1505 1 ja 2 artiklassa täsmennetyt tiedot.

Jäsenvaltiot voivat sisällyttää luotettuihin luetteloihin tietoa myös muista kuin hyväksytyistä luottamuspalvelun tarjoajista ja niiden tarjoamista muista kuin hyväksytyistä luottamuspalveluista. Tällöin on ilmoitettava selkeästi, että niitä ei ole hyväksytty asetuksen (EU) N:o 910/2014 mukaisesti.

Jäsenvaltiot voivat sisällyttää luotettuihin luetteloihin myös muuntyyppisiä kansallisesti määriteltyjä luottamuspalveluja kuin asetuksen (EU) N:o 910/2014 3 artiklan 16 kohdassa määriteltyjä. Tällöin on ilmoitettava selkeästi, että niitä ei ole hyväksytty asetuksen (EU) N:o 910/2014 mukaisesti.

erityiset tiedot käytetystä valvontajärjestelmästä ja soveltuvin osin kansallisista kelpuuttamisjärjestelmistä (esim. akkreditointijärjestelmistä), erityisesti seuraavat (1):

1)	tiedot hyväksyttyihin ja muihin kuin hyväksyttyihin luottamuspalvelun tarjoajiin sekä niiden tarjoamiin hyväksyttyihin ja muihin ja hyväksyttyihin luottamuspalveluihin sovellettavasta kansallisesta valvontajärjestelmästä asetuksen (EU) N:o 910/2014 mukaisesti;

2)	tarvittaessa tiedot kansallisista vapaaehtoisuuteen perustuvista akkreditointijärjestelmistä, joita sovelletaan direktiivin 1999/93/EY mukaisesti hyväksyttyjä varmenteita myöntäneisiin varmennepalvelujen tarjoajiin;

Edellä mainittujen tietojen pitää sisältää jokaisesta edellä luetellusta järjestelmästä ainakin seuraavat tiedot:

1)	yleiskuvaus;

2)	tiedot prosessista, jota kansallinen valvontajärjestelmä ja kelpuutusta sovellettaessa kansallinen kelpuuttamisjärjestelmä noudattaa;

3)	tiedot kriteereistä, joiden perusteella luottamuspalvelun tarjoajia valvotaan tai kelpuutusta sovellettaessa kelpuutetaan;

4)	tiedot kriteereistä ja säännöistä, joiden mukaisesti valvojat/auditoijat valikoidaan ja joiden mukaisesti määritellään, millä tavoin valvojat/auditoijat arvioivat luottamuspalvelun tarjoajia ja niiden tarjoamia luottamuspalveluja;

5)	soveltuvin osin muut yhteys- ja yleistiedot järjestelmän toiminnasta.

Scheme type/community/rules (lauseke 5.3.9)

Tätä kenttää pitää käyttää, ja sen pitää noudattaa ETSI TS 119 612:n lausekkeen 5.3.9 eritelmiä.

Sen URI-tunnisteiden on oltava brittienglantia.

Siinä pitää olla ainakin kaksi URI-tunnistetta seuraavasti:

kaikkien jäsenvaltioiden luotettujen luetteloiden yhteinen URI viittaa kuvaustekstiin, jota pitää soveltaa kaikkiin luotettaviin luetteloihin seuraavasti:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Kuvaus:

”Participation in a scheme

Each Member State must create a trusted list including information related to the qualified trust service providers that are under supervision, together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

The present implementation of such trusted lists is also to be referred to in the list of links (pointers) towards each Member State's trusted list, compiled by the European Commission.

Policy/rules for the assessment of the listed services

Member States must supervise qualified trust service providers established in the territory of the designating Member State as laid down in Chapter III of Regulation (EU) No 910/2014 to ensure that those qualified trust service providers and the qualified trust services that they provide meet the requirements laid down in the Regulation.

The trusted lists of Member States include, as a minimum, information specified in Articles 1 and 2 of Commission Implementing Decision 2015/1505.

The trusted lists include both current and historical information about the status of listed trust services.

Each Member State's trusted list must provide information on the national supervisory scheme and where applicable, national approval (e.g. accreditation) scheme(s) under which the trust service providers and the trust services that they provide are listed.

Interpretation of the Trusted List

The general user guidelines for applications, services or products relying on a trusted list published in accordance with Regulation (EU) No 910/2014 are as follows:

The ’qualified’ status of a trust service is indicated by the combination of the ’Service type identifier’ (’Sti’) value in a service entry and the status according to the ’Service current status’ field value as from the date indicated in the ’Current status starting date and time’. Historical information about such a qualified status is similarly provided when applicable.

Regarding qualified trust service providers issuing qualified certificates for electronic signatures, for electronic seals and/or for website authentication:

A ’CA/QC’’Service type identifier’ (’Sti’) entry (possibly further qualified as being a ’RootCA-QC’ through the use of the appropriate ’Service information extension’ (’Sie’) additionalServiceInformation Extension)

—

indicates that any end-entity certificate issued by or under the CA represented by the ’Service digital identifier’ (’Sdi’) CA's public key and CA's name (both CA data to be considered as trust anchor input), is a qualified certificate (QC) provided that it includes at least one of the following:

—	the id-etsi-qcs-QcCompliance ETSI defined statement (id-etsi-qcs 1),

—	the 0.4.0.1456.1.1 (QCP+) ETSI defined certificate policy OID,

—	the 0.4.0.1456.1.2 (QCP) ETSI defined certificate policy OID,

and provided this is ensured by the Member State Supervisory Body through a valid service status (i.e. ’undersupervision’, ’supervisionincessation’, ’accredited’ or ’granted’) for that entry.

—

and IF’Sie’’Qualifications Extension’ information is present, then in addition to the above default rule, those certificates that are identified through the use of ’Sie’’Qualifications Extension’ information, constructed as a sequence of filters further identifying a set of certificates, must be considered according to the associated qualifiers providing additional information regarding their qualified status, the ’SSCD support’ and/or ’Legal person as subject’ (e.g. certificates containing a specific OID in the Certificate Policy extension, and/or having a specific ’Key usage’ pattern, and/or filtered through the use of a specific value to appear in one specific certificate field or extension, etc.). These qualifiers are part of the following set of ’Qualifiers’ used to compensate for the lack of information in the corresponding certificate content, and that are used respectively:

—

to indicate the qualified certificate nature:

—	’QCStatement’ meaning the identified certificate(s) is(are) qualified under Directive 1999/93/EC;

—	’QCForESig’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic signature under Regulation (EU) No 910/2014;

—	’QCForESeal’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic seal under Regulation (EU) No 910/2014;

—	’QCForWSA’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for web site authentication under Regulation (EU) No 910/2014.

—

to indicate that the certificate is not to be considered as qualified:

—	’NotQualified’ meaning the identified certificate(s) is(are) not to be considered as qualified; And/or

—

to indicate the nature of the SSCD support:

—	’QCWithSSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in an SSCD, or

—	’QCNoSSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in an SSCD, or

—	’QCSSCDStatusAsInCert’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key residing in an SSCD;

—

to indicate the nature of the QSCD support:

—	’QCWithQSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in a QSCD, or

—	’QCNoQSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in a QSCD, or

—	’QCQSCDStatusAsInCert’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key is residing in a QSCD;

—

’QCQSCDManagedOnBehalf’ indicating that all certificates identified by the applicable list of criteria, when they are claimed or stated as qualified, have their private key is residing in a QSCD for which the generation and management of that private key is done by a qualified TSP on behalf of the entity whose identity is certified in the certificate; And/or

—

to indicate issuance to Legal Person:

—	’QCForLegalPerson’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), are issued to a Legal Person under Directive 1999/93/EC.

Note: The information provided in the trusted list is to be considered as accurate meaning that:

—	if none of the id-etsi-qcs 1 statement, QCP OID or QCP+ OID information is included in an end-entity certificate, and

—	if no ’Sie’’Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ’QCStatement’ qualifier, or

—	an ’Sie’’Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ’NotQualified’ qualifier,

then the certificate is not to be considered as qualified.

’Service digital identifiers’ are to be used as Trust Anchors in the context of validating electronic signatures or seals for which signer's or seal creator's certificate is to be validated against TL information, hence only the public key and the associated subject name are needed as Trust Anchor information. When more than one certificate are representing the public key identifying the service, they are to be considered as Trust Anchor certificates conveying identical information with regard to the information strictly required as Trust Anchor information.

The general rule for interpretation of any other ’Sti’ type entry is that, for that ’Sti’ identified service type, the listed service named according to the ’Service name’ field value and uniquely identified by the ’Service digital identity’ field value has the current qualified or approval status according to the ’Service current status’ field value as from the date indicated in the ’Current status starting date and time’.

Specific interpretation rules for any additional information with regard to a listed service (e.g. ’Service information extensions’ field) may be found, when applicable, in the Member State specific URI as part of the present ’Scheme type/community/rules’ field.

Please refer to the applicable secondary legislation pursuant to Regulation (EU) No 910/2014 for further details on the fields, description and meaning for the Member States' trusted lists.”

Kunkin jäsenvaltion luotetun luettelon erityinen URI viittaa kuvaustekstiin, jota pitää soveltaa kyseisen jäsenvaltion luotettavaan luetteloon:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC, jossa CC = ”Scheme territory” -kentässä käytetty standardin ISO 3166–1 (2) kaksimerkkinen maakoodi (lauseke 5.3.10)

—	Tästä URI:stä käyttäjät voivat saada selville kyseisen jäsenvaltion erityiset toimintatavat/säännöt, joiden suhteen luetteloon sisällytettyjä luottamuspalveluja arvioidaan jäsenvaltion valvontajärjestelmän ja tarvittaessa kelpuuttamisjärjestelmän mukaisesti.

—

Tästä URI:stä käyttäjät voivat saada selville kyseisen jäsenvaltion erityisen kuvauksen siitä, miten luotetun luettelon sisältöä käytetään ja tulkitaan suhteessa luettelossa oleviin muihin kuin hyväksyttyihin luottamuspalveluihin ja/tai kansallisesti määriteltyihin luottamuspalveluihin. Sitä voidaan käyttää osoittamaan CSP-tarjoajiin, jotka eivät myönnä QC-varmenteita, liittyvässä kansallisessa kelpuuttamisjärjestelmässä mahdollisesti esiintyvää tarkkuusastetta ja sitä, miten kenttiä ”Scheme service definition URI” (lauseke 5.5.6) ja ”Service information extension” (lauseke 5.5.9) käytetään tähän tarkoitukseen.

Jäsenvaltiot SAAVAT määritellä ja käyttää muita URI-tunnisteita yllä mainitusta jäsenvaltiokohtaisesta URI:stä alkaen (eli hierarkiakohtaisesta URI:stä lähtien määriteltyjä URI-tunnisteita).

TSL policy/legal notice (lauseke 5.3.11)

Tätä kenttää pitää käyttää, ja sen pitää noudattaa ETSI TS 119 612:n lauseketta 5.3.11, jolloin järjestelmän oikeudellista asemaa koskeva toimintatapa/ilmoitus tai järjestelmän täyttämät lakisääteiset vaatimukset sillä oikeudenkäyttöalueella, jossa järjestelmä sijaitsee, ja/tai mahdolliset rajoitukset ja ehdot, joiden puitteissa luotettua luetteloa ylläpidetään ja julkaistaan, pitää ilmoittaa monikielisenä merkkijonona (ks. lauseke 5.1.4), jossa annetaan kyseisen toimintatavan tai ilmoituksen teksti seuraavasti (pakollisena kielenä brittienglanti, valinnaisesti yksi tai useampi kansallinen kieli):

Ensimmäisessä pakollisessa ja kaikkien jäsenvaltioiden luotetuille luetteloille yhteisessä osassa ilmoitetaan sovellettava oikeusperusta. Englanninkielinen versio:

The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

Teksti jäsenvaltion kansallisella kielellä/kielillä:

Tähän luotettuun luetteloon sovellettava oikeusperusta on sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta 23 päivänä heinäkuuta 2014 annettu Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014.

2)	Toinen, vapaaehtoinen osa, joka on luettelokohtainen ja jossa ilmoitetaan viitteet sovellettaviin kansallisiin oikeusperustoihin.

Service current status (lauseke 5.5.4)

Tätä kenttää pitää käyttää, ja sen pitää noudattaa ETSI TS 119 612:n lausekkeen 5.5.4 eritelmiä.

Jäsenvaltion luotetussa luettelossa olevien palvelujen ”Service current status” -arvon siirto asetuksen (EU) N:o 910/2014 soveltamispäivää edeltävänä päivänä (30. kesäkuuta 2016) on toteutettava sinä päivänä, jona asetusta aletaan soveltaa (1. heinäkuuta 2016), siten kuin ETSI TS 119 612:n liitteessä J esitetään.

III LUKU

LUOTETTUJEN LUETTELOIDEN JATKUVUUS

Varmenteiden, jotka on ilmoitettava komissiolle tämän päätöksen 4 artiklan 2 kohdan mukaisesti, on täytettävä ETSI TS 119 612:n lausekkeen 5.7.1 vaatimukset, ja ne on myönnettävä siten, että

—	niiden voimassaoloajan päättymisajat eroavat vähintään kolme kuukautta (”Not After”),

—	luodaan uusia avainpareja. Aiemmin käytettyjä avainpareja ei saa varmentaa uudelleen.

Jos yksi julkisen avaimen varmenteista, jota voitaisiin käyttää luotetun luettelon allekirjoituksen tai leiman validointiin ja joka on annettu tiedoksi komissiolle ja julkaistu komission keskusosoitinluetteloissa, lakkaa olemasta voimassa, jäsenvaltioiden pitää

—

julkaista viipymättä uusi luotettu luettelo, joka on allekirjoitettu tai leimattu yksityisellä avaimella, jonka ilmoitetun julkisen avaimen varmenteen voimassaolo ei ole päättynyt, jos julkaistu luotettu luettelo oli allekirjoitettu tai leimattu yksityisellä avaimella, jonka julkisen avaimen varmenteen voimassaolo on päättynyt,

—	tarvittaessa luoda uusia avainpareja, joita voitaisiin käyttää luotetun luettelon allekirjoittamiseen tai leimaamiseen, ja huolehtia niitä vastaavien julkisen avaimen varmenteiden luomisesta,

—	antaa pikaisesti tiedoksi komissiolle uusi luettelo julkisen avaimen varmenteista, jotka vastaavat yksityisiä avaimia, joita voitaisiin käyttää luotetun luettelon allekirjoittamiseen tai leimaamiseen.

Jos yksi julkisen avaimen varmennetta vastaavista yksityisistä avaimista, jota voitaisiin käyttää luotetun luettelon allekirjoituksen tai leiman validointiin ja joka on annettu tiedoksi komissiolle ja julkaistu komission keskusosoitinluetteloissa, vaarantuu tai poistetaan käytöstä, jäsenvaltioiden pitää

—	julkaista viipymättä uusi luotettava luettelo, joka on allekirjoitettu tai leimattu vaarantumattomalla yksityisellä avaimella, jos julkaistu luotettu luettelo oli allekirjoitettu tai leimattu vaarantuneella tai käytöstä poistetulla yksityisellä avaimella,

—	tarvittaessa luoda uusia avainpareja, joita voitaisiin käyttää luotetun luettelon allekirjoittamiseen tai leimaamiseen, ja huolehtia niitä vastaavien julkisen avaimen varmenteiden luomisesta,

—	antaa pikaisesti tiedoksi komissiolle uusi luettelo julkisen avaimen varmenteista, jotka vastaavat yksityisiä avaimia, joita voitaisiin käyttää luotetun luettelon allekirjoittamiseen tai leimaamiseen.

Jos kaikki julkisen avaimen varmenteita vastaavat yksityiset avaimet, joita voitaisiin käyttää luotetun luettelon allekirjoituksen tai leiman validointiin ja jotka on annettu tiedoksi komissiolle ja julkaistu komission keskusosoitinluetteloissa, vaarantuvat tai poistetaan käytöstä, jäsenvaltioiden pitää

—	luoda uusia avainpareja, joita voitaisiin käyttää luotetun luettelon allekirjoittamiseen tai leimaamiseen, ja huolehtia niitä vastaavien julkisen avaimen varmenteiden luomisesta,

—	julkaista viipymättä uusi luotettu luettelo, joka on allekirjoitettu tai leimattu yhdellä kyseisistä uusista yksityisistä avaimista ja jonka julkisen avaimen varmenne on annettava tiedoksi komissiolle,

—	antaa pikaisesti tiedoksi komissiolle uusi luettelo julkisen avaimen varmenteista, jotka vastaavat yksityisiä avaimia, joita voitaisiin käyttää luotetun luettelon allekirjoittamiseen tai leimaamiseen.

IV LUKU

IHMISEN LUETTAVISSA OLEVASSA MUODOSSA OLEVAA LUOTETTUA LUETTELOA KOSKEVAT ERITELMÄT

Jos luotettu luettelo laaditaan ja julkaistaan ihmisen luettavissa olevassa muodossa, se pitää toimittaa Portable Document Format (PDF) -asiakirjana standardin ISO 32000 (3) mukaisesti, ja sen formatoinnin pitää olla profiilin PDF/A (ISO 19005 (4)) mukainen.

Luotetun luettelon PDF/A-pohjaisen ihmisen luettavissa olevan muodon pitää täyttää seuraavat vaatimukset:

—	Ihmisen luettavissa olevan muodon pitää vastata ETSI TS 119 612:ssa kuvattua loogista mallia.

—

Jokaisessa mukana olevassa kentässä pitää näyttää ja ilmoittaa seuraavat tiedot:

—	kentän otsikko (esim. ”Palvelutyypin tunniste”),

—	kentän arvo (esim. ”http://uri.etsi.org/TrstSvc/Svctype/CA/QC}”),

—	tarvittaessa kentän arvon merkitys (kuvaus) (esim. ”Varmennepalvelu, joka luo ja allekirjoittaa hyväksyttyjä varmenteita asiaankuuluvien rekisteröintipalvelujen varmentamien identiteetti- ja muiden määreiden perusteella.”),

—	tarvittaessa useita luonnollisten kielten kielimuunnoksia, jotka mainitaan luotetussa luettelossa.

—

Ainakin seuraavat kentät ja digitaalisten varmenteiden vastaavat arvot (5), jos ne sijaitsevat kentässä ”Service digital identity”, pitää näyttää ihmisen luettavissa olevassa muodossa:

—	versio (Version)

—	varmenteen sarjanumero (Certificate serial number)

—	allekirjoituksen algoritmi (Signature algorithm)

—	myöntäjä – kaikki asiaankuuluvat luokitellut nimet (Issuer – all relevant distinguished name fields)

—	voimassaoloaika (Validity period)

—	aihe – kaikki asiaankuuluvat luokitellut nimet (Subject – all relevant distinguished name fields)

—	julkinen avain (Public key)

—	varmentaja-avaimen tunniste (Authority Key Identifier)

—	aiheen varmentajatunniste (Subject Key Identifier)

—	avaimen käyttö (Key Usage)

—	laajennettu avaimen käyttö (Extended key usage)

—	varmennepolitiikka – kaikki politiikan tunnisteet ja politiikan määreet (Certificate Policies – all policy identifiers and policy qualifiers)

—	politiikan kartoitukset (Policy mappings)

—	aiheen vaihtoehtoinen nimi (Subject alternative name)

—	aiherekisterin ominaisuudet (Subject directory attributes)

—	perusrajoitteet (Basic constraints)

—	politiikkarajoitteet (Policy constraints)

—	CRL:n jakelupisteet (CRL Distribution Points) (6)

—	viranomaista koskeva tiedonsaanti (Authority Information Access)

—	aihetta koskeva tiedonsaanti (Subject Information Access)

—	hyväksyttyjen varmenteiden lausumat (Qualified Certificate Statements) (7)

—	hash-algoritmi (Hash algorithm)

—	varmenteen hash-arvo (Hash value of certificate)

—	Ihmisen luettavissa olevan muodon pitää olla helposti tulostettavissa.

—	Scheme Operatorin pitää allekirjoittaa tai leimata ihmisen luettavissa oleva muoto käyttämällä komission täytäntöönpanopäätöksen (EU) 2015/1505 1 ja 3 artiklassa määriteltyä kehittynyttä PDF-allekirjoitusta.

(1) Näissä kohdassa mainitut tiedot ovat ratkaisevan tärkeitä, kun luottavat osapuolet arvioivat tällaisten järjestelmien laatua ja turvallisuustasoa. Nämä tietosarjat tarjotaan luettelokohtaisesti käyttämällä tämän asiakirjan kenttiä ”Scheme information URI” (lauseke 5.3.7 – jäsenvaltioiden tarjoamat tiedot), ”Scheme type/community/rules” (lauseke 5.3.9 – käyttämällä kaikille jäsenvaltioille yhteistä tekstiä) ja ”TSL policy/legal notice” (lauseke 5.3.11 – kaikille jäsenvaltioille yhteinen teksti ja kunkin jäsenvaltion mahdollisuus lisätä jäsenvaltiokohtaisia tekstejä/viitteitä). Tällaisista muita kuin hyväksyttyjä luottamuspalveluja ja kansallisesti määriteltyjä (hyväksyttyjä) luottamuspalveluja koskevista järjestelmistä voidaan antaa palvelutasokohtaista lisätietoa tarvittaessa ja silloin, kun se on pakollista (esim. eri laatu-/turvallisuustasojen erottamiseksi toisistaan), käyttämällä lauseketta ”Scheme service definition URI” (lauseke 5.5.6).

(2) ISO 3166–1:2006: ”Maiden ja niiden hallintoalueiden nimien tunnukset. Osa 1: Maiden nimien tunnukset”.

(3) ISO 32000–1:2008: Document management – Portable document format – Part 1: PDF 1.7

(4) ISO 19005–2:2011: Document management – Electronic document file format for long-term preservation – Part 2: Use of ISO 32000–1 (PDF/A-2)

(5) ITU-T-suositus X.509 | ISO/IEC 9594–8: Information technology – Open systems interconnection – The Directory: Public-key and attribute certificate frameworks (ks. http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509)

(6) RFC 5280: Internet X.509 PKI Certificate and CRL Profile

(7) RFC 3739: Internet X.509 PKI: Qualified Certificates Profile

LIITE II

JÄSENVALTIOIDEN ILMOITUSTEN MALLI

Jäsenvaltioiden tämän päätöksen 4 artiklan 1 kohdan mukaisesti ilmoittamien tietojen on sisällettävä seuraavat tiedot ja niiden mahdolliset muutokset:

Jäsenvaltio, joka on ilmoitettu standardin ISO 3166–1 (1) kaksimerkkisellä koodilla seuraavin poikkeuksin:

a)	Yhdistyneen kuningaskunnan maakoodi on ”UK”.

b)	Kreikan maakoodi on ”EL”.

Elin tai elimet, jotka vastaavat luotettujen luettelojen laatimisesta, ylläpitämisestä ja julkaisemisesta automaattiseen käsittelyyn soveltuvassa muodossa ja ihmisen luettavissa olevassa muodossa.

a)	Järjestelmäoperaattorin (scheme operator) nimi: annettujen tietojen on oltava identtisiä (isot ja pienet kirjaimet luetaan eri merkeiksi) luotetussa luettelossa olevan ”Scheme operator name” -arvon kanssa kaikilla niillä kielillä, joita on käytetty luotetussa luettelossa.

Vapaaehtoisesti annetut tiedot yksinomaan komission sisäiseen käyttöön tilanteissa, joissa asianomaiseen elimeen on otettava yhteyttä (tietoja ei julkaista komission luetetuista luetteloista koostamassa luettelossa):

—	Järjestelmäoperaattorin (scheme operator) osoite;

—	Vastuuhenkilö(ide)n yhteystiedot (nimi, puhelin, sähköpostiosoite).

3)	Paikka, jossa automaattiseen käsittelyyn soveltuvassa muodossa oleva luotettu luettelo on julkaistu (voimassa olevan luotetun luettelon julkaisupaikka).

4)	Paikka, jossa mahdollinen ihmisen luettavissa oleva luotettu luettelo on julkaistu (voimassa olevan luotetun luettelon julkaisupaikka). Jos ihmisen luettavissa olevassa muodossa olevaa luotettua luetteloa ei enää julkaista, maininta tästä.

Julkisen avaimen varmenteet, jotka vastaavat yksityisiä avaimia, joita voidaan käyttää automaattiseen käsittelyyn soveltuvassa muodossa ja ihmisen luettavassa muodossa olevan luetetun luettelon allekirjoittamiseen tai leimaamiseen sähköisesti: näiden varmenteiden on oltava Privacy Enhanced Mail Base64 -menetelmällä koodattuja DER-varmenteita. Muutosilmoituksen osalta lisätietoja silloin, kun tietty komission luettelossa oleva varmenne korvataan uudella varmenteella tai kun ilmoitettu varmenne lisätään nykyisiin ilman entisen varmenteen korvaamista.

6)	Edellä 1–5 kohdissa mainittujen tietojen ilmoittamispäivä.

Edellä olevien 1, 2 a, 3, 4 ja 5 kohdan mukaisesti ilmoitettavat tiedot on sisällytettävä komission luotetuista luetteloista koostamaan luetteloon, jossa ne korvaavat siihen aiemmin sisällytetyt tiedot.

(1) ISO 3166–1: ”Maiden ja niiden hallintoalueiden nimien tunnukset. Osa 1: Maiden nimien tunnukset”.

9.9.2015

Euroopan unionin virallinen lehti

L 235/37

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2015/1506,

annettu 8 päivänä syyskuuta 2015,

eritelmien vahvistamisesta sellaisia kehittyneiden sähköisten allekirjoitusten ja kehittyneiden leimojen muotoja varten, jotka julkisen sektorin elinten on tunnustettava sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 27 artiklan 5 kohdan ja 37 artiklan 5 kohdan mukaisesti

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

sekä katsoo seuraavaa:

(1)	Jäsenvaltioiden on tarpeen ottaa käyttöön tarvittavat tekniset välineet, joiden avulla ne voivat käsitellä sähköisesti allekirjoitettuja asiakirjoja, jotka vaaditaan, kun käytetään julkisen sektorin elimen tarjoamaa tai sen puolesta tarjottua verkkopalvelua.

(2)

Asetuksella (EU) N:o 910/2014 velvoitetaan jäsenvaltiot, jotka vaativat kehittynyttä sähköistä allekirjoitusta tai sähköistä leimaa julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, tunnustamaan kehittyneet sähköiset allekirjoitukset ja leimat, hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset allekirjoitukset ja leimat sekä hyväksytyt sähköiset allekirjoitukset ja leimat tietyissä muodoissa tai vaihtoehtoisissa muodoissa, jotka on validoitu tiettyjen viitemenetelmien mukaan.

(3)	Tiettyjä muotoja ja viitemenetelmiä määriteltäessä olisi otettava huomioon olemassa olevat käytännöt, standardit ja unionin säädökset.

(4)

Komission täytäntöönpanopäätöksessä 2014/148/EU (2) määritellään joitakin yleisimpiä kehittyneiden sähköisten allekirjoitusten muotoja, joiden käsittelyyn jäsenvaltioilla on oltava tekniset valmiudet, jos kehittyneitä sähköisiä allekirjoituksia vaaditaan sähköisessä hallinnollisessa menettelyssä. Viitemuotojen vahvistamisella pyritään helpottamaan sähköisten allekirjoitusten rajat ylittävää validointia ja parantamaan sähköisten menettelyjen yhteentoimivuutta rajojen yli.

(5)

Kehittyneiden sähköisten allekirjoitusten muotoja koskevat voimassa olevat standardit ovat tämän päätöksen liitteessä luetellut standardit. Koska standardointielimet tarkistavat jatkuvasti viitemuotojen pitkäaikaisen arkistoinnin muotoja, standardit, jotka koskevat pitkäaikaista arkistointia, eivät kuulu tämän päätöksen soveltamisalaan. Kun viitestandardien uusi versio on saatavilla, viittaukset standardeihin ja pitkäaikaista arkistointia koskeviin lausekkeisiin tarkistetaan.

(6)	Kehittyneet sähköiset allekirjoitukset ja kehittyneet sähköiset leimat ovat teknisesti samankaltaisia. Sen vuoksi kehittyneiden sähköisten allekirjoitusten muotoja koskevia standardeja olisi soveltuvin osin sovellettava kehittyneiden sähköisten leimojen muotoihin.

(7)

Jos allekirjoittamiseen tai leimaamiseen käytetään muita sähköisten allekirjoitusten ja leimojen muotoja kuin niitä, joihin yleisesti on tekniset valmiudet, olisi asetettava käyttöön validointimenetelmiä, jotka mahdollistavat sähköisten allekirjoitusten tai leimojen tarkistamisen rajojen yli. Jotta vastaanottavat jäsenvaltiot voisivat luottaa tällaisiin toisen jäsenvaltion validointivälineisiin, niistä on tarpeen antaa helposti saatavilla olevaa tietoa niin, että nämä tiedot sisällytetään sähköisiin asiakirjoihin, sähköisiin allekirjoituksiin tai sähköisten asiakirjojen säilötiedostoihin.

(8)

Jos jäsenvaltion julkisissa palveluissa on saatavilla automaattiseen käsittelyyn soveltuvat sähköisen allekirjoituksen tai sähköisen leiman validointimahdollisuudet, tällaisten validointimahdollisuuksien olisi oltava saatavilla vastaanottavassa jäsenvaltiossa ja ne olisi toimitettava sille. Tämä päätös ei kuitenkaan saisi estää asetuksen (EU) N:o 910/2014 27 artiklan 1 ja 2 kohdan sekä 37 artiklan 1 ja 2 kohdan soveltamista, kun vaihtoehtoisten menetelmien validointimahdollisuuksien automaattinen käsittely ei ole mahdollista.

(9)

Jotta validointivaatimukset olisivat vertailukelpoisia ja lisättäisiin luottamusta validointimahdollisuuksiin, joita jäsenvaltiot tarjoavat muille kuin niille sähköisille allekirjoitusten ja leimojen muodoille, joiden käsittelyyn on yleisesti valmiudet, validointivälineille tässä päätöksessä asetettavat vaatimukset perustuvat asetuksen (EU) N:o 910/2014 32 ja 40 artiklassa tarkoitettuihin hyväksyttyjen sähköisten allekirjoitusten ja leimojen validointia koskeviin vaatimuksiin.

(10)	Tässä päätöksessä säädetyt toimenpiteet ovat asetuksen (EU) N:o 910/2014 48 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Jäsenvaltioiden, jotka vaativat kehittynyttä sähköistä allekirjoitusta tai hyväksyttyyn varmenteeseen perustuvaa kehittynyttä sähköistä allekirjoitusta, joista säädetään asetuksen (EU) N:o 910/2014 27 artiklan 1 ja 2 kohdassa, on tunnustettava kehittynyt sähköinen XML-, CMS- tai PDF-allekirjoitus vastaavuustasolla B, T tai LT tai käyttäen assosioitujen allekirjoitusten säilötiedostoa (associated signature container), kun allekirjoitukset ovat liitteessä olevien teknisten eritelmien mukaisia.

2 artikla

1. Jäsenvaltioiden, jotka vaativat kehittynyttä sähköistä allekirjoitusta tai hyväksyttyyn varmenteeseen perustuvaa kehittynyttä sähköistä allekirjoitusta, joista säädetään asetuksen (EU) N:o 910/2014 27 artiklan 1 ja 2 kohdassa, on tunnustettava muut kuin tämän päätöksen 1 artiklassa tarkoitetut sähköisten allekirjoitusten muodot, edellyttäen että jäsenvaltio, johon allekirjoittajan käyttämä luottamuspalvelun tarjoaja on sijoittautunut, tarjoaa muille jäsenvaltioille allekirjoituksen validointimahdollisuuksia, jotka soveltuvat mahdollisuuksien mukaan automaattiseen käsittelyyn.

2. Allekirjoituksen validointimahdollisuuksien on

a)	oltava sellaisia, että muut jäsenvaltiot voivat niiden avulla validoida vastaanotetut sähköiset allekirjoitukset verkossa veloituksetta ja muunkielisten käyttäjien ymmärrettävissä olevalla tavalla;

b)	oltava ilmoitettu allekirjoitetussa asiakirjassa, sähköisessä allekirjoituksessa tai sähköisen asiakirjan säilötiedostossa; ja

vahvistettava kehittyneen sähköisen allekirjoituksen pätevyys seuraavin edellytyksin:

kehittynyttä sähköistä allekirjoitusta tukeva varmenne oli kelvollinen allekirjoitushetkellä ja silloin, kun kehittynyttä sähköistä allekirjoitusta tukee hyväksytty varmenne, kehittynyttä sähköistä allekirjoitusta tukeva hyväksytty varmenne oli allekirjoitushetkellä asetuksen (EU) N:o 910/2014 liitteen I mukainen sähköistä allekirjoitusta varten hyväksytty varmenne ja sen oli myöntänyt hyväksytty luottamuspalvelun tarjoaja;

2)	allekirjoituksen validointitiedot vastaavat luottavalle osapuolelle annettuja tietoja;

3)	allekirjoittajaa edustava yksilöivä tietokokonaisuus on annettu oikein luottavalle osapuolelle;

4)	jos allekirjoitushetkellä on käytetty salanimeä, sen käytöstä on selkeästi ilmoitettu luottavalle osapuolelle;

5)	jos kehittynyt sähköinen allekirjoitus on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä, tällaisen laitteen käytöstä on selkeästi ilmoitettu luottavalle osapuolelle;

6)	allekirjoitettujen tietojen eheyttä ei ole loukattu;

7)	asetuksen (EU) N:o 910/2014 26 artiklassa säädetyt vaatimukset täyttyivät allekirjoitushetkellä;

8)	kehittyneen sähköisen allekirjoituksen validointiin käytettävä järjestelmä antaa luottavalle osapuolelle validointiprosessissa oikean tuloksen, ja se antaa luottavalle osapuolelle mahdollisuuden huomata mahdolliset tietoturvaan vaikuttavat poikkeamat.

3 artikla

Jäsenvaltioiden, jotka vaativat kehittynyttä sähköistä leimaa tai hyväksyttyyn varmenteeseen perustuvaa kehittynyttä sähköistä leimaa, joista säädetään asetuksen (EU) N:o 910/2014 37 artiklan 1 ja 2 kohdassa, on tunnustettava kehittynyt sähköinen XML-, CMS- tai PDF-leima vastaavuustasolla B, T tai LT tai käyttäen assosioitujen allekirjoitusten säilötiedostoa (associated signature container), kun leimat ovat liitteessä olevien teknisten eritelmien mukaisia.

4 artikla

1. Jäsenvaltioiden, jotka vaativat kehittynyttä sähköistä leimaa tai hyväksyttyyn varmenteeseen perustuvaa kehittynyttä sähköistä leimaa, joista säädetään asetuksen (EU) N:o 910/2014 37 artiklan 1 ja 2 kohdassa, on tunnustettava muut kuin tämän päätöksen 3 artiklassa tarkoitetut sähköisten leimojen muodot, edellyttäen että jäsenvaltio, johon leiman luojan käyttämä luottamuspalvelun tarjoaja on sijoittautunut, tarjoaa muille jäsenvaltioille leimojen validointimahdollisuuksia, jotka soveltuvat mahdollisuuksien mukaan automaattiseen käsittelyyn.

2. Leiman validointimahdollisuuksien on

a)	oltava sellaisia, että muut jäsenvaltiot voivat niiden avulla validoida vastaanotetut sähköiset leimat verkossa veloituksetta ja muunkielisten käyttäjien ymmärrettävissä olevalla tavalla;

b)	oltava ilmoitettu leimatussa asiakirjassa, sähköisessä leimassa tai sähköisen asiakirjan säilötiedostossa;

vahvistettava kehittyneen sähköisen leiman pätevyys seuraavin edellytyksin:

kehittynyttä sähköistä leimaa tukeva varmenne oli kelvollinen allekirjoitushetkellä ja silloin, kun kehittynyttä sähköistä leimaa tukee hyväksytty varmenne, kehittynyttä sähköistä leimaa tukeva hyväksytty varmenne oli allekirjoitushetkellä asetuksen (EU) N:o 910/2014 liitteen III mukainen sähköistä leimaa varten hyväksytty varmenne ja sen oli myöntänyt hyväksytty luottamuspalvelun tarjoaja;

2)	leiman validointitiedot vastaavat luottavalle osapuolelle annettuja tietoja;

3)	leiman luojaa edustava yksilöivä tietokokonaisuus on annettu oikein luottavalle osapuolelle;

4)	jos leimaushetkellä on käytetty salanimeä, sen käytöstä on selkeästi ilmoitettu luottavalle osapuolelle;

5)	jos kehittynyt sähköinen leima on luotu hyväksytyllä sähköisen leiman luontivälineellä, tällaisen laitteen käytöstä on selkeästi ilmoitettu luottavalle osapuolelle;

6)	leimattujen tietojen eheyttä ei ole loukattu;

7)	asetuksen (EU) N:o 910/2014 36 artiklassa säädetyt vaatimukset täyttyivät leimaushetkellä;

8)	kehittyneen sähköisen leiman validointiin käytettävä järjestelmä antaa luottavalle osapuolelle validointiprosessissa oikean tuloksen, ja se antaa luottavalle osapuolelle mahdollisuuden huomata mahdolliset tietoturvaan vaikuttavat poikkeamat.

5 artikla

Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä päätös on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 8 päivänä syyskuuta 2015.

Komission puolesta

Puheenjohtaja

Jean-Claude JUNCKER

(1) EUVL L 257, 28.8.2014, s. 73.

(2) Komission täytäntöönpanopäätös 2014/148/EU, annettu 17 päivänä maaliskuuta 2014, palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY nojalla toimivaltaisten viranomaisten sähköisesti allekirjoittamien asiakirjojen maiden rajat ylittävää käsittelyä koskevista vähimmäisvaatimuksista annetun päätöksen 2011/130/EU muuttamisesta (EUVL L 80, 19.3.2014, s. 7).

LIITE

Luettelo teknisistä eritelmistä kehittyneille sähköisille XML-, CMS- tai PDF-allekirjoituksille ja assosioitujen allekirjoitusten säilötiedostolle

Päätöksen 1 artiklassa mainittujen kehittyneiden sähköisten allekirjoitusten on vastattava jotakin seuraavista ETSIn teknisistä eritelmistä, lukuun ottamatta niiden lauseketta 9:

XAdES perustason profiili	ETSIn tekninen eritelmä 103171 v.2.1.1 (1)
CAdES perustason profiili	ETSIn tekninen eritelmä 103173 v.2.2.1 (2)
PAdES perustason profiili	ETSIn tekninen eritelmä 103172 v.2.2.2 (3)

Päätöksen 1 artiklassa mainitun assosioitujen allekirjoitusten säilötiedoston on vastattava seuraavia ETSIn teknisiä eritelmiä:

Assosioitujen allekirjoitusten säilötiedoston perustason profiili

ETSIn tekninen eritelmä 103174 v.2.2.1 (4)

Luettelo teknisistä eritelmistä kehittyneille sähköisille XML-, CMS- tai PDF-leimoille ja assosioitujen leimojen säilötiedostolle

Päätöksen 3 artiklassa mainittujen kehittyneiden sähköisten leimojen on vastattava jotakin seuraavista ETSIn teknisistä eritelmistä, lukuun ottamatta niiden lauseketta 9:

XAdES perustason profiili	ETSIn tekninen eritelmä 103171 v.2.1.1
CAdES perustason profiili	ETSIn tekninen eritelmä 103173 v.2.2.1
PAdES perustason profiili	ETSIn tekninen eritelmä 103172 v.2.2.2

Päätöksen 3 artiklassa mainitun assosioitujen leimojen säilötiedoston on vastattava seuraavia ETSIn teknisiä eritelmiä:

Assosioitujen leimojen säilötiedoston perustason profiili

ETSIn tekninen eritelmä 103174 v.2.2.1

(1) http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf

(2) http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf

(3) http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf

(4) http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf

		ISSN 1977-0812
Euroopan unionin virallinen lehti		L 235

Suomenkielinen laitos	Lainsäädäntö	58. vuosikerta 9. syyskuu 2015

Sisältö		II Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset	Sivu
		ASETUKSET
	*	Komission täytäntöönpanoasetus (EU) 2015/1501, annettu 8 päivänä syyskuuta 2015, yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti ( 1 )	1
	*	Komission täytäntöönpanoasetus (EU) 2015/1502, annettu 8 päivänä syyskuuta 2015, teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti ( 1 )	7
		Komission täytäntöönpanoasetus (EU) 2015/1503, annettu 8 päivänä syyskuuta 2015, kiinteistä tuontiarvoista tiettyjen hedelmien ja vihannesten tulohinnan määrittämiseksi	21
		PÄÄTÖKSET
	*	Komission täytäntöönpanopäätös (EU) 2015/1504, annettu 7 päivänä syyskuuta 2015, poikkeuksien myöntämisestä tietyille jäsenvaltioille siltä osin kuin on kyse tilastojen toimittamisesta energiatilastoista annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1099/2008 nojalla (tiedoksiannettu numerolla C(2015) 6105) ( 1 )	24
	*	Komission täytäntöönpanopäätös (EU) 2015/1505, annettu 8 päivänä syyskuuta 2015, luotettujen luetteloiden teknisten eritelmien ja muotoseikkojen vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 22 artiklan 5 kohdan mukaisesti ( 1 )	26
	*	Komission täytäntöönpanopäätös (EU) 2015/1506, annettu 8 päivänä syyskuuta 2015, eritelmien vahvistamisesta sellaisia kehittyneiden sähköisten allekirjoitusten ja kehittyneiden leimojen muotoja varten, jotka julkisen sektorin elinten on tunnustettava sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 27 artiklan 5 kohdan ja 37 artiklan 5 kohdan mukaisesti ( 1 )	37

(EUR/100 kg)
CN-koodi	Kolmansien maiden koodi (1)	Kiinteä tuontiarvo
0702 00 00	MA	173,3
	MK	48,7
	XS	41,5
	ZZ	87,8
0707 00 05	MK	76,3
	TR	116,3
	XS	42,0
	ZZ	78,2
0709 93 10	TR	133,1
0709 93 10	ZZ	133,1
0805 50 10	AR	135,9
	BO	135,7
	CL	125,5
	UY	142,2
	ZA	136,9
	ZZ	135,2
0806 10 10	EG	239,8
	MK	63,9
	TR	129,5
	ZZ	144,4
0808 10 80	AR	188,7
	BR	93,9
	CL	134,4
	NZ	143,4
	US	112,5
	UY	110,5
	ZA	117,6
	ZZ	128,7
0808 30 90	AR	131,9
	CL	100,0
	TR	122,9
	ZA	113,5
	ZZ	117,1
0809 30 10, 0809 30 90	MK	80,1
	TR	141,7
	ZZ	110,9
0809 40 05	BA	54,8
	IL	336,8
	MK	44,1
	XS	70,3
	ZZ	126,5