31999L0093

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 1999/93/EG

av den 13 december 1999

om ett gemenskapsramverk för elektroniska signaturer

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTΑ DIREKTIV

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 47.2 samt artiklarna 55 och 95 i detta,

med beaktande av kommissionens förslag(1),

med beaktande av Ekonomiska och sociala kommitténs yttrande(2),

med beaktande av Regionkommitténs yttrande(3),

enligt förfarandet i artikel 251 i fördraget(4), och

av följande skäl:

1. Den 16 april 1997 lade kommissionen fram meddelandet om ett europeiskt initiativ inom elektronisk handel för Europaparlamentet, rådet, Ekonomiska och sociala kommittén och Regionkommittén.

2. Den 8 oktober 1997 lade kommissionen fram meddelandet "Säkerhet och tillförlitlighet vid elektronisk kommunikation - Mot en europeisk ram för digitala signaturer och kryptering" för Europaparlamentet, rådet, Ekonomiska och sociala kommittén och Regionkommittén.

3. Den 1 december 1997 uppmanade rådet kommissionen att så snart som möjligt lägga fram ett förslag till Europaparlamentets och rådets direktiv om digitala signaturer.

4. Elektronisk kommunikation och handel kräver elektroniska signaturer och därtill hörande tjänster som gör det möjligt att autentisera uppgifter. Olika bestämmelser om rättslig erkännande av elektroniska signaturer och ackreditering av tillhandahållare av certifikattjänster i medlemsstaterna kan skapa betydande hinder för elektronisk kommunikation och elektroniska handel. Ett tydligt gemenskapsramverk för de villkor som skall gälla för elektroniska signaturer kommer dock att stärka förtroendet för och ett allmänt godtagande av den nya tekniken. Lagstiftningen i medlemsstaterna får inte hindra den fria rörligheten för varor och tjänster på den inre marknaden.

5. Driftskompatibiliteten för produkter för elektroniska signaturer bör främjas. Enligt artikel 14 i fördraget skall den inre marknaden omfatta ett område utan inre gränser där fri rörlighet för varor säkerställs. För att kunna säkerställa fri rörlighet på den inre marknaden och bygga upp förtroendet för elektroniska signaturer måste därför vissa grundläggande krav, som är specifika för produkter för elektroniska signaturer uppfyllas, utan att det påverkar tillämpningen av rådets förordning (EG) nr 3381/94 av dels 19 december 1994 om upprättandet av en gemenskapsordning för kontroll av export av varor med dubbla användningsområden(5) och rådets beslut 94/942/GUSP av den 19 december 1994 om den gemensamma åtgärd för kontroll av export av varor med dubbla användningsområden som antagits av rådet(6).

6. Detta direktiv harmoniserar inte tillhandahållande av tjänster som avser informationssekretess när dessa tjänster omfattas av nationell lagstiftning om allmän ordning eller allmän säkerhet.

7. Den inre marknaden säkerställer fri rörlighet för personer, vilket innebär att medborgare och invånare i Europeiska unionen i allt större omfattning behöver komma i kontakt med myndigheter i andra medlemsstater än den där de är bosatta. Tillgången till elektronisk kommunikation skulle kunna vara till mycket stor nytta i detta avseende.

8. Den snabba tekniska utvecklingen och Internets globala karaktär kräver öppenhet inför olika tekniker och tjänster för att autentisera Uppgifter elektroniskt.

9. Elektroniska signaturer kommer att användas under mycket skiftande omständigheter och i många olika tillämpningar vilket kommer att ge upphov till ett brett utbud av nya tjänster och produkter som har anknytning till eller som utnyttjar elektroniska signaturer. Definitionen av sådana produkter och tjänster bör inte begränsas till utfärdande och hantering av certifikat utan bör också omfatta alla andra tjänster och produkter som använder eller stöder elektroniska signaturer, till exempel registrerings-, tidsregistrerings-, katalog-, databehandlings- eller konsulttjänster med anknytning till elektroniska signaturer.

10. Den inre marknaden gör det möjligt för tillhandahållare av certifikattjänster att utveckla sin gränsöverskridande verksamhet för att stärka sin konkurrenskraft och därigenom erbjuda konsumenter och företag nya möjligheter att utbyta information och bedriva elektronisk handel på ett säkert sätt oberoende av gränser. För att stimulera tillhandahållandet av certifikattjänster i hela gemenskapen via öppna nät bör tillhandahållare av certifikattjänster kunna erbjuda sina tjänster utan förhandstillstånd. Förhandstillstånd omfattar inte endast alla tillstånd som kräver ett beslut från de nationella myndigheterna innan tillhandahållaren av certifikattjänster får tillhandahålla dessa tjänster, utan också alla andra åtgärder med samma verkan.

11. Frivilliga ackrediteringssystem som syftar till en högre nivå på tillhandahållarnas tjänster kan utgöra en lämplig ram för tillhandahållare av certifikattjänster, så att de kan fortsätta att utveckla sina tjänster för att uppnå den tillförlitlighet, säkerhet och kvalitet som utvecklingen av marknaden kräver. Sådana system bör främja utarbetandet av bästa praxis bland tillhandahållare av certifikattjänster. Tillhandahållare av certifikattjänster bör ha frihet att ansluta sig till och dra fördel av sådana ackrediteringssystem.

12. Certifikattjänster kan tillhandahållas antingen av ett offentligt organ eller av en juridisk eller fysisk person etablerad i enlighet med nationell lag. Medlemsstaterna bör inte förbjuda tillhandahållare av certifikattjänster att verka utanför frivilliga ackrediteringssystem. Det bör säkerställas att ackrediteringssystem inte minskar konkurrensen när det gäller certifikattjänster.

13. Medlemsstaterna får besluta om hur de skall säkerställa att efterlevnaden av bestämmelserna i detta direktiv övervakas. Genom detta direktiv utesluts inte inrättandet av övervakningssystem baserade inom den privata sektorn. Genom detta direktiv åläggs inte tillhandahållare av certifikattjänster att ansöka om att bli övervakade enligt något tillämpligt ackrediteringssystem.

14. Det är viktigt att uppnå balans mellan konsumenternas och företagens behov.

15. I bilaga III redovisas vilka krav som ställs på säkra anordningar för skapande av signaturer för att säkerställa de avancerade elektroniska signaturernas funktionalitet. Bilagan tar inte upp hela den systemmiljö där sådana anordningar används. För att den inre marknaden skall fungera väl krävs att kommissionen och medlemsstaterna agerar snabbt för att göra det möjligt att utse de organ som skall ansvara för överensstämmelsebedömning av anordningar för säkra signaturer enligt bilaga III. För att marknadens behov skall tillgodoses måste överensstämmelsebedömningen utföras i tid och på ändamålsenligt sätt.

16. Detta direktiv kommer att bidra till användningen och det rättsliga erkännandet av elektroniska signaturer inom gemenskapen. Det behövs inget rättsligt ramverk för elektroniska signaturer som endast används inom system, vilka grundar sig på frivilliga civilrättsliga avtal mellan ett bestämt antal deltagare. Parternas frihet att sinsemellan komma överens om på vilka villkor de godkänner elektroniskt signerade uppgifter bör respekteras i den utsträckning det är förenligt med den nationella lagstiftningen. Elektroniska signaturer som används i sådana system bör inte förvägras rättslig verkan eller giltighet som bevis i rättsliga förfaranden.

17. Detta direktiv avser inte att harmonisera nationella avtalsrättsliga bestämmelser, till exempel upprättande och fullgörelse av avtal, eller andra utomobligatoriska formaliteter angående signaturer. Därför berör bestämmelserna om elektroniska signaturers rättsliga verkan inte formkrav som fastställs i nationell lagstiftning om ingående av avtal eller de regler som avgör var ett avtal har ingåtts.

18. Lagring och kopiering av uppgifter för skapande av signaturer kan utgöra ett hot mot den elektroniska signaturens juridiska giltighet.

19. Elektroniska signaturer kommer att användas i den offentliga sektorn inom nationella förvaltningar och gemenskapsförvaltningar samt i dessa förvaltningars kommunikation med varandra och med medborgare och ekonomiska aktörer, till exempel när det gäller offentlig upphandling, beskattning, social välfärd, hälsovård och rättssystem.

20. Harmoniserade normer för elektroniska signaturers rättsliga verkan kommer att bidra till att en enhetlig rättslig ram bibehålls i hela gemenskapen. I nationell lagstiftning uppställs olika krav för handskrivna signaturers juridiska giltighet. Certifikat kan användas för att bekräfta identiteten hos en person som undertecknar på elektronisk väg. Avancerade elektroniska signaturer baserade på kvalificerade certifikat syftar till en högre säkerhetsnivå. Avancerade elektroniska signaturer som är baserade på ett kvalificerat certifikat och som skapas genom en säker anordning för skapande av signaturer kan anses juridiskt likvärdiga med handskrivna signaturer endast om kraven för handskrivna signaturer uppfylls.

21. För att bidra till att metoderna för elektronisk autentisering godtas överlag måste det säkerställas att elektroniska signaturer kan användas som bevis vid rättsliga förfaranden i samtliga medlemsstater. Det rättsliga erkännandet av elektroniska signaturer bör baseras på objektiva kriterier och inte vara knutet till auktoriseringen av den berörda tillhandahållaren av certifikattjänster. Den nationella lagstiftningen reglerar inom vilka rättsliga områden elektroniska dokument och elektroniska signaturer får användas. Detta direktiv påverkar inte nationella domstolars behörighet att fastslå om det föreligger överensstämmelse med kraven i direktivet och det inverkar inte på nationella bestämmelser om fri bevisprövning.

22. Tillhandahållare av certifikattjänster som tillhandahåller sådana tjänster till allmänheten omfattas av nationella bestämmelser om skadeståndsansvar.

23. Utvecklingen av internationell elektronisk handel kräver gränsöverskridande system som även omfattar tredje land. För att kunna säkerställa en global driftskompatibilitet kan det vara lämpligt att ingå överenskommelser med tredje land angående multilaterala bestämmelser om ömsesidigt erkännande av certifikattjänster.

24. För att öka kundernas förtroende för elektronisk kommunikation och elektronisk handel måste tillhandahållare av certifikattjänster iaktta dataskyddslagstiftningen och respektera privatlivets helgd.

25. Bestämmelser om användningen av pseudonymer i certifikat bör inte hindra medlemsstaterna från att kräva identifiering av personer enligt gemenskapslagstiftning eller nationell lagstiftning.

26. De åtgärder som krävs för att genomföra detta direktiv skall antas enligt artikel 2 i rådets beslut 1999/468/EG av den 28 juni 1999 om de förfaranden som skall tillämpas vid utövandet av kommissionens genomförandebefogenheter(7).

27. Kommissionen kommer att göra en översyn av detta direktiv två år efter det att det har genomförts bland annat för att säkerställa att de tekniska framstegen eller ändringarna vad gäller de rättsliga förutsättningarna inte har medfört några hinder för att uppnå de mål som anges i detta direktiv. Kommissionen skall undersöka konsekvenserna på andra närliggande tekniska områden och lägga fram en rapport om detta för Europaparlamentet och rådet.

28. I enlighet med subsidiaritetsprincipen och proportionalitetsprincipen i artikel 5 i fördraget kan målet att skapa en harmoniserad rättslig ram för tillhandahållandet av elektroniska signaturer och därmed förknippade tjänster inte i tillräcklig utsträckning uppnås av medlemsstaterna och kan därför bättre uppnås på gemenskapsnivå. Detta direktiv går inte utöver vad som är nödvändigt för att uppnå det målet.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Tillämpningsområde

Syftet med detta direktiv är att underlätta användningen av elektroniska signaturer och bidra till deras rättsliga erkännande. Det fastställer ett rättsligt ramverk för elektroniska signaturer och vissa certifikattjänster för att säkerställa en väl fungerande inre marknad.

Det omfattar inte frågor som avser ingående eller giltighet av avtal eller andra rättsliga förpliktelser om den nationella lagstiftningen eller gemenskapslagstiftningen föreskriver vissa formkrav, och det påverkar inte heller bestämmelser och begränsningar i nationell lagstiftning eller gemenskapslagstiftning som reglerar användningen av dokument.

Artikel 2

Definitioner

I detta direktiv används följande beteckningar med de betydelser som här anges:

1. elektronisk signatur: uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska uppgifter och som används som en metod för autentisering.

2. avancerad elektronisk signatur: en elektronisk signatur som uppfyller följande krav:

a) Den är knuten uteslutande till undertecknaren.

b) Undertecknaren kan identifieras genom den.

c) Den är skapad med medel som undertecknaren kan behålla under uteslutande sin egen kontroll.

d) Den är kopplad till de uppgifter den avser på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

3. undertecknare: en person som innehar en anordning av signaturer och som agerar antingen på sina egna vägnar eller på det organs eller den fysiska eller juridiska persons vägnar som är han eller hon företräder.

4. uppgifter för skapande av signaturer: unika uppgifter, till exempel koder eller privata krypteringsnycklar som undertecknaren använder för att skapa en elektronisk signatur.

5. anordning för skapande av signaturer: en konfigurerad programvara eller hårdvara för att använda uppgifterna för skapande av signaturer.

6. säker anordning för skapande av signaturer: en anordning för skapande av signaturer vilken uppfyller kraven i bilaga III.

7. uppgifter för signaturverifiering: uppgifter, till exempel koder eller öppna kryptografiska nycklar, som används för att verifiera den elektroniska signaturen.

8. anordning för signaturverifiering: en konfigurerad programvara eller hårdvara för att använda uppgifterna för signaturverifieringen.

9. certifikat: ett intyg i elektronisk form som kopplar ihop uppgifterna för signaturverifiering med en person och bekräftar denna persons identitet.

10. kvalificerat certifikat: ett certifikat som uppfyller kraven i bilaga I och som utfärdas av en tillhandahållare av certifikattjänster som uppfyller kraven i bilaga II.

11. tilllhandahållare av certifikattjänster: ett organ eller en fysisk eller juridisk person som utfärdar certifikat eller tillhandahåller andra tjänster som har anknytning till elektroniska signaturer.

12. produkt för elektroniska signaturer: maskinvara eller programvara, eller relevanta komponenter i sådana system, som är avsedda att användas av en tillhandahållare av certifikattjänster för tillhandahållande av tjänster som avser elektroniska signaturer eller som är avsedda att användas för att skapa eller verifiera elektroniska signaturer.

13. frivillig ackreditering: sådana tillstånd i vilka de rättigheter och skyldigheter fastställs som är specifika för tillhandahållandet av certifikattjänster och som på begäran av den berörda tillhandahållaren av certifikattjänster skall utfärdas av de offentliga eller privata institutioner som ansvarar för utarbetandet och övervakningen av dessa rättigheter och skyldigheter, då tillhandahållaren av certifikattjänster inte får utöva rättigheterna enligt tillståndet förrän denne har erhållit beslutet från institutionen.

Artikel 3

Marknadstillträde

1. Medlemsstaterna får inte göra tillhandahållandet av certifikattjänster beroende av förhandstillstånd.

2. Utan att det påverkar tillämpningen av bestämmelserna i punkt I får medlemsstaterna införa eller behålla frivilliga ackrediteringssystem som syftar till att höja nivån på tillhandahållandet av certifikattjänster. Alla villkor som gäller sådana system skall vara objektiva, tydliga, proportionella och icke-diskriminerande. Medlemsstaterna får inte begränsa antalet ackrediterade tillhandahållare av certifikattjänster av skäl som omfattas av detta direktiv.

3. Medlemsstaterna skall garantera att ett lämpligt system införs villket gör det möjligt att övervaka de tillhandahållare av certifikattjänster som är etablerade på deras territorium och som utfärdar kvalificerade certifikat till allmänheten.

4. Lämpliga offentliga eller privata organ som medlemsstaterna utser skall avgöra om säkra anordningar för skapande av signaturer överstämmer med kraven i bilaga III. Kommissionen skall i enlighet med förfarandet i artikel 9 fastställa kriterier för medlemsstaterna för att avgöra om ett organ bör utses.

Ett beslut som fattas av de organ som avses i första stycket om att det föreligger överensstämmelse med kraven i bilaga III skall erkännas av samtliga medlemsstater.

5. Kommissionen får i enlighet med förfarandet i artikel 9 fastställa och offentliggöra referensnummer till allmänt erkända standarder för produkter för elektroniska signaturer i Europeiska gemenskapernas officiella tidning. Medlemsstaterna skall utgå ifrån att produkter för elektroniska signaturer överensstämmer med kraven i punkt f i bilaga II samt i bilaga III om de uppfyller dessa standarder.

6. Medlemsstaterna och kommissionen skall i samarbete främja utveckling och användning av anordningar för signaturverifiering med utgångspunkt i rekommendationerna för säker signaturverifiering i bilaga IV och till gagn för konsumenterna.

7. Medlemsstaterna får förena användningen av elektroniska signaturer i den offentliga sektorn med eventuella ytterligare krav. Sådana krav skall vara objektiva, tydliga, proportionella och icke-diskriminerande och skall endast gälla de särskilda egenskaperna för den berörda tillämpningen. Dessa krav får inte utgöra ett hinder för gränsöverskridande tjänster för medborgaren.

Artikel 4

Principer för den inre marknaden

1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den antar enligt detta direktiv på tillhandahållare av certifikattjänster vilka är etablerade på dess territorium och på de tjänster som dessa tillhandahåller. Medlemsstaterna får inte begränsa tillhandahållandet av certifikattjänster, med ursprung i andra medlemsstater, på de områden som omfattas av detta direktiv.

2. Medlemsstaterna skall säkerställa att produkter för elektroniska signaturer vilka överensstämmer med detta direktiv har fri rörlighet på den inre marknaden.

Artikel 5

Rättslig verkan för elektroniska signaturer

1. Medlemsstaterna skall säkerställa att avancerade elektroniska signaturer som baseras på ett kvalificerat certifikat och som skapas av en säker anordning för skapande av signaturer

a) uppfyller de rättsliga kraven på en signatur i förhållande till uppgifter i elektronisk form, på samma sätt som en handskriven signatur uppfyller samma krav i förhållande till uppgifter på papper, och

b) godtas som bevis vid rättsliga förfaranden.

2. Medlemsstaterna skall säkerställa att en elektronisk signatur inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att signaturen

- är i elektronisk form,

- inte är baserad på ett kvalificerat certifikat,

- inte är baserad på ett kvalificerat certifikat utfärdat av en ackrediterad tillhandahållare av certifikattjänster, eller

- inte är skapad av en säker anordning för skapande av signaturer.

Artikel 6

Skadeståndsansvar

1. Som ett minimikrav skall medlemsstaterna säkerställa att en tillhandahållare av certifikattjänster genom att utfärda ett certifikat som ett kvalificerat certifikat till allmänheten eller genom att garantera ett sådant certifikat till allmänheten är ansvarig för skada som åsamkats ett organ eller en fysisk eller juridisk person som har rimlig anledning att förlita sig på att

a) all information i det kvalificerade certifikatet är korrekt vid tidpunkten för utfärdandet och att certifikatet innehåller alla de uppgifter som föreskrivs för ett kvalificerat certifikat,

b) det säkerställs att den undertecknare som anges i det kvalificerade certifikatet vid tidpunkten för utfärdandet av certifikatet var i besittning av de uppgifter för skapande av signaturer som motsvarar de uppgifter för signaturverifiering som anges i certifikatet,

c) det säkerställs att uppgifterna för skapande av signaturer och uppgifterna för signaturverifiering kan användas som komplement till varandra om tillhandahållaren av certifikattjänster framställer båda dessa,

såvida inte tillhandahållaren av certifikattjänster bevisar att han inte har handlat försumligt.

2. Som ett minimikrav skall medlemsstaterna säkerställa att en tillhandahållare av certifikattjänster som har utfärdat ett certifikat som ett kvalificerat certifikat till allmänheten är ansvarig för skada som genom underlåtenhet att registrera återkallande av certifikatet har åsamkats ett organ eller en fysisk eller juridisk person som har rimlig anledning att förlita sig på certifikatet, såvida tillhandahållaren av certifikattjänsten inte bevisar att han inte har handlat försumligt.

3. Medlemsstaterna skall säkerställa att en tillhandahållare av certifikattjänster i ett kvalificerat certifikat får ange begränsningar i ett visst certifikats användningsområde, under förutsättning att begränsningarna är identifierbara för tredje man. Tillhandahållaren av certifikattjänster skall inte vara ansvarig för skador som härrör från att ett kvalificerat certifikat används i strid med de begränsningar som gäller för detta.

4. Medlemsstaterna skall säkerställa att en tillhandahållare av certifikattjänster i ett kvalificerat certifikat får ange en begränsning för värdet av de transaktioner för vilka certifikatet kan användas, under förutsättning att begränsningen är identifierbar för tredje man.

Tillhandahållaren av certifikattjänster är inte ansvarig för skador som följer av att denna övre begränsning överskridits.

5. Bestämmelserna i punkterna 1-4 skall inte påverka tillämpningen av rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal(8).

Artikel 7

Internationella aspekter

1. Medlemsstaterna skall säkerställa att certifikat som utfärdas som kvalificerade certifikat till allmänheten av tillhandahållare av certifikattjänster som etablerade i ett tredje land betraktas som rättslut likvärdiga med certifikat som utfärdas av tillhandahållare av certifikattjänster vilka är etablerade inom gemenskapen, under förutsättning att

a) tillhandahållaren av certifikattjänster uppfyller kraven i detta direktiv och har ackrediterats enligt ett frivilligt ackrediteringssystem som upprättas i en medlemsstat, eller

b) en tillhandahållare av certifikattjänster vilken är etablerad inom gemenskapen och uppfyller kraven i detta direktiv garanterar certifikatet, eller

c) certifikatet eller tillhandahållaren av certifikattjänster är erkänt enligt ett bilateralt eller multilateralt avtal mellan gemenskapen och tredje land eller internationella organisationer.

2. För att underlätta gränsöverskridande certifikattjänster med tredje land och rättsligt erkännande av avancerade elektroniska signaturer med ursprung i tredje land skall komissionen vid behov lägga fram förslag som syftar till ett effektivt genomförande av standarder och internationella avtal för certifikattjänster. Kommissionen skall särskilt, vid behov, överlämna förslag till rådet om lämpliga mandat för att förhandla om bilaterala och multilaterala avtal eller tredje land och internationella organisationer. Rådet skall fatta beslut med kvalificerad majoritet.

3. Om kommissionen får kännedom om att företag i gemenskapen har svårigheter vad gäller marknadstillträde i tredje land, får kommissionen, om det är nödvändigt, förelägga rådet förslag om ett lämpligt förhandlingsmandat i syfte att uppnå jämförbara rättigheter för gemenskapsföretag i ett sådant tredje land. Rådet skall fatta sitt beslut med kvalificerad majoritet.

Åtgärder som vidtas enligt denna punkt skall inte påverka tillämpningen av gemenskapens och medlemsstaternas skyldigheter enligt relevanta internationella avtal.

Artikel 8

Dataskydd

1. Medlemsstaterna skall säkerställa att tillhandahållare av certifikattjänster och nationella organ med ansvar för ackreditering eller övervakning uppfyller kraven i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(9).

2. Medlemsstaterna skall säkerställa att en tillhandahållare av certifikattjänster som utfärdar certifikat till allmänheten endast får hämta personuppgifter direkt från den berörde personen eller med dennes uttryckliga medgivande och endast i den utsträckning som är nödvändigt för att utfärda och bibehålla certifikatet. Uppgifterna får inte samlas in eller behandlas för andra ändamål utan uttryckligt medgivande från den berörde personen.

3. Utan att det påverkar den rättsliga verkan som enligt nationell lagstiftning ges pseudonymer får inte medlemsstaterna hindra att tillhandahållare av certifikattjänster anger en pseudonym i stället för undertecknarens namn i certifikatet.

Artikel 9

Kommitté

1. Kommission skall biträdas av en kommitté för elektroniska signaturer, nedan kallad kommittén.

2. När det hänvisas till denna punkt skall artiklarna 4 och 7 i beslut 1999/468/EG tillämpas, med beaktande av bestämmelserna i artikel 8 i beslutet.

Den tid som avses i artikel 4.3 i beslut 1999/468/EG skall vara tre månader.

3. Kommittén skall själv fastställa sin arbetsordning.

Artikel 10

Kommitténs uppgifter

Kommittén skall, i enlighet med förfarandet i artikel 9.2, klargöra kraven i bilagorna till detta direktiv, de kriterier som avses i artikel 3.4 samt de allmänt erkända standarder för produkter för elektroniska signaturer som fastställs och offentliggörs enligt artikel 3.5.

Artikel 11

Anmälan

1. Medlemsstaterna skall överlämna följande information till kommissionen och de övriga medlemsstaterna:

a) Information om nationella frivilliga ackrediteringssystem, inbegripet alla ytterligare krav enligt artikel 3.7.

b) Namn på och adress till de nationella organ som ansvarar för ackreditering och övervakning samt även till de organ som avses i artikel 3.4.

c) Namn på och adress till samtliga ackrediterade nationella tillhandahållare av certifikattjänster.

2. All information som skall överlämnas enligt punkt 1 och ändringar av denna information skall anmälas av medlemsstaterna så snart som möjligt.

Artikel 12

Översyn

1. Kommissionen skall göra en översyn av hur direktivet fungerar och överlämna en rapport om detta till Europaparlamentet och rådet senast den 19 juli 2003.

2. I översynen skall bland annat ingå en bedömning av om direktivets tillämpningsområde bör ändras med hänsyn till den tekniska, marknadsmässiga och rättsliga utveklingen. Rapporten skall särskilt innehålla en bedömning av harmoniseringsfrågor på grundval av de erfarenheter som har vunnits. Rapporten skall vid behov åtföljas av förslag till bestämmelser.

Artikel 13

Överföring

1. Medlemsstaterna skall sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv senast den 19 juli 2001. De skall genast underrätta kommissionen om detta.

När en medlemsstat antar dessa bestämmelser skall de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen skall föras skall varje medlemsstat själv utfärda.

2. Medlemsstaterna skall till kommissionen överlämna texterna till de centrala bestämmelser i nationell lagstiftning som de antar inom det område som omfattas av detta direktiv.

Artikel 14

Ikraftträdande

Detta direktiv träder i kraft samma dag som det offentliggörs i Europeiska gemeskapernas officiella tidning.

Artikel 15

Mottagare

Detta direktiv riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 13 december 1999.

På Europaparlamentets vägnar

N. FONTAINE

Ordförande

På rådets vägnar

S. HASSI

Ordförande

(1) EGT C 325, 23.10.1998, s. 5.

(2) EGT C 40, 15.2.1999, s. 29.

(3) EGT C 93, 6.4.1999, s. 33.

(4) Europaparlamentets yttrande av den 13 januari 1999 (EGT C 104, 14.4.1999, s. 49), rådets gemensamma ståndpunkt av den 28 juni 1999 ( EGT C 243, 27.8.1999, s. 33) och Europaparlamentets beslut av den 27 oktober 1999 (ännu ej offentliggjort i EGT). Rådets beslut av den 30 november 1999.

(5) EGT L 367, 31.12.1994, s. 1. Förordningen ändrad genom förordning (EG) nr 837/95 (EGT L 90, 21.4.1995, s. 1).

(6) EGT L 367, 31.12.1994, s. 8. Beslutet senast ändrat genom beslut 1999/193/GUSP (EGT L 73, 19.3.1999, s. 1).

(7) EGT L 184, 17.7.1999, s. 23.

(8) EGT L 95, 21.4.1993, s. 29.

(9) EGT L 281, 23.11.1995, s. 31.

BILAGA I

Krav på kvalificerade certifikat

Kvalificerade certifikat skall innehålla följande:

a) Uppgift om att certifikatet har utfärdats som ett kvalificerat certifikat.

b) Identitetsbeteckning för tillhandahållaren av certifikattjänster och den stat i vilken tillhandahållaren är etablerad.

c) Undertecknarens namn eller pseudonym med uppgift om att det rör sig om en pseudonym.

d) Möjlighet till ett särskilt attribut för undertecknaren som i förekommande fall skall tas med, beroende på för vilket ändamål certifikatet är avsett.

e) Uppgifter för signaturverifiering som motsvarar uppgifter för skapande av signaturer som undertecknaren har kontroll över.

f) Angivande av giltighetstidens början och slut för certifikatet.

g) Certifikatets identifieringskod.

h) Den avancerade elektroniska signaturen för den tillhandahållare av certifikattjänster som utfärdar certifikatet.

i) Eventuella begränsningar av certifikatets användningsområde.

j) Eventuella begränsningar av värdet på de transaktioner för vilka certifikatet kan användas.

BILAGA II

Krav på tillhandahållare av certifikattjänster vilka utfärdar kvalificerade certifikat

Tillhandahållare av certifikattjänster skall uppfylla följande krav:

a) Visa att de har den pålitlighet som krävs för att tillhandahålla certifikattjänster.

b) Garantera driften av ett snabbt och säkert system för registrering och för säkert och omedelbart återkallande.

c) Säkerställa att exakt datum och klockslag för certifikatets utfärdande eller återkallande kan slås fast.

d) Med lämpliga medel och i överensstämmelse med nationell lagstiftning kunna kontrollera identiteten och i förekommande fall särskilda attribut hos den person till vilken ett kvalificerat certifikat utfärdas.

e) Ha personal som besitter de expertkunskaper, den erfarenhet och de kvalifikationer som krävs för de tjänster som tillhandahålls, i synnerhet i fråga om ledningskompetens, expertkunskaper avseende teknik för elektroniska signaturer och vana vid lämpliga säkerhetsrutiner. Personalen skall också använda adekvata administrativa rutiner och ledningsrutiner som uppfyller erkända standarder.

f) Använda pålitliga system och produkter som är skyddade mot ändringar och garantera teknisk och kryptografisk säkerhet i de förfaranden som stöds av dessa.

g) Vidta åtgärder mot förfalskning av certifikat och, om tillhandahållaren av certifikattjänster genererar uppgifter för skapande av signaturer, garantera att genereringen av dessa uppgifter sker konfidentiellt.

h) Förfoga över tillräckliga ekonomiska medel för att bedriva verksamheten i enlighet med kraven i detta direktiv, i synnerhet för att kunna bära risken för skadeståndsskyldighet, till exempel genom en lämplig försäkring.

i) Registrera all relevant information om ett kvalificerat certifikat under en lämplig tidsperiod, särskilt för att vid rättsliga förfaranden kunna lägga fram bevis om utfärdande av certifikat. Registreringen får göras elektroniskt.

j) Inte lagra eller kopiera uppgifter för skapande av signaturer om den person som tillhandahållaren av certifikattjänster har erbjudit nyckelhanteringstjänster.

k) Innan de ingår ett avtalsförhållande med en person som önskar ett certifikat till stöd för sin elektroniska signatur, informera den personen via ett varaktigt kommunikationsmedel om de exakta villkor som gäller för användning av certifikatet, inbegripet eventuella begränsningar av dess användning, förekomsten av ett frivilligt ackrediteringssystem samt förfaranden för klagomål och avgörande av tvister. Sådan information, som får överföras elektroniskt, måste vara skriftlig samt avfattad på ett lättbegripligt språk. Relevanta delar av informationen skall även på begäran göras tillgängliga för tredje man som är beroende av certifikatet.

l) Använda tillförlitliga system för lagring av certifikat i verifierbar form så att

- enbart behöriga personer kan föra in uppgifter och göra ändringar,

- uppgifters autenticitet kan kontrolleras,

- certifikaten är offentligt tillgängliga för hämtning av uppgifter endast i de fall för vilka certifikatinnehavarens samtycke har inhämtats, samt

- tekniska förändringar som äventyrar dessa säkerhetskrav är uppenbara för den som har hand om systemet.

BILAGA III

Krav på säkra anordningar för skapande av signaturer

1. Säkra anordningar för skapande av signaturer skall genom lämpliga tekniker och förfaranden säkerställa att åtminstone

a) de uppgifter för skapande av signaturer som används för att generera signaturen praktiskt taget enbart kan förekomma en gång, och att sekretessen avseende dessa uppgifter är säkerställd inom rimliga gränser,

b) de uppgifter för skapande av signaturer som används för att generera signaturen inte med rimlig garanti kan härledas och att signaturen är skyddad mot förfalskning med den teknik som för närvarande finns tillgänglig,

c) de uppgifter för skapande av signaturer som används för att generera signaturen kan skyddas på ett tillförlitligt sätt av den legitime undertecknaren så att andra inte kan använda dem.

2. Säkra anordningar för skapande av signaturer får inte förändra de uppgifter som skall signeras eller hindra att dessa uppgifter presenteras för undertecknaren före undertecknandet.

BILAGA IV

Rekommendationer för säker signaturverifiering

Under signaturverifieringsprocessen skall med rimlig säkerhet garanteras

a) att de uppgifter som används för att utföra signaturverifiering överensstämmer med de uppgifter som visas för den som utför verifieringen,

b) att signaturen kontrolleras på ett tillförlitligt sätt och att resultatet av verifieringen anges korrekt,

c) att den som utför verifieringen vid behov på ett tillförlitligt sätt kan fastställa innehållet i de signerade uppgifterna,

d) att det begärda certifikatets autenticitet och giltighet på ett tillfredsställande sätt kontrollerats när signaturverifieringen utförs,

e) att resultatet av kontrollen och undertecknarens identitet korrekt anges,

f) att användning av pseudonym tydligt anges, samt

g) att alla förändringar av betydelse för säkerheten kan upptäckas.