32015D1505

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Genomförandebeslut - 2015/1505 - EN - EUR-Lex

Help

Search tips

Need more search options? Use the Advanced search

Document 32015D1505

Kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (Text av betydelse för EES)

EUT L 235, 9.9.2015, p. 26–36 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force: This act has been changed. Current consolidated version: 09/09/2015

ELI: http://data.europa.eu/eli/dec_impl/2015/1505/oj

HTML

PDF

Official Journal

9.9.2015

Europeiska unionens officiella tidning

L 235/26

KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2015/1505

av den 8 september 2015

om fastställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 22.5, och

av följande skäl:

(1)	Förteckningar över betrodda tjänsteleverantörer är viktiga för att bygga upp förtroendet bland aktörer på marknaden, eftersom de visar status för tillhandahållaren av tjänster vid tidpunkten för tillsynen.

(2)

Den gränsöverskridande användningen av elektroniska signaturer (dvs. underskrifter) har underlättats genom kommissionens beslut 2009/767/EG (2), i vilket fastställs medlemsstaternas skyldighet att inrätta, underhålla och offentliggöra tillförlitliga förteckningar (dvs. förteckningar över betrodda tjänsteleverantörer), med information om tillhandahållare av certifieringstjänster som utfärdar kvalificerade certifikat till allmänheten i enlighet med Europaparlamentets och rådets direktiv 1999/93/EG (3) och som övervakas och ackrediteras av medlemsstaterna.

(3)

Enligt artikel 22 i förordning (EU) nr 910/2014 är medlemsstaterna skyldiga att upprätta, underhålla och offentliggöra förteckningar över betrodda tjänsteleverantörer, på ett säkert sätt och elektroniskt undertecknade eller förseglade (dvs. stämplade) i en form som lämpar sig för automatiserad behandling, och att utan onödigt dröjsmål till kommissionen lämna information om det organ som ansvarar för att upprätta nationella förteckningar över betrodda tjänsteleverantörer.

(4)

En tillhandahållare av betrodda tjänster och de betrodda tjänster som tillhandahålls bör anses vara kvalificerade när tillhandahållaren har status som kvalificerad i förteckningen över betrodda tjänsteleverantörer. I syfte att säkerställa att andra skyldigheter som följer av förordning (EU) nr 910/2014, särskilt de som fastställs i artiklarna 27 och 37, lätt kan fullgöras av tjänsteleverantörerna på distans och på elektronisk väg, och att uppfylla de berättigade förväntningarna hos andra tillhandahållare av certifikattjänster som inte utfärdar kvalificerade certifikat, men väl tillhandahåller tjänster som har anknytning till elektroniska signaturer (underskrifter) enligt direktiv 1999/93/EG och som är upptagna i förteckningen den 30 juni 2016, bör det vara möjligt för medlemsstaterna att lägga till andra betrodda tjänster än de kvalificerade i förteckningarna över betrodda tjänsteleverantörer, på frivillig basis och på nationell nivå, förutsatt att det tydligt anges att de inte är kvalificerade enligt förordning (EU) nr 910/2014.

(5)	I enlighet med skäl 25 i förordning (EU) nr 910/2014 får medlemsstaterna lägga till andra typer av nationellt definierade betrodda tjänster än de som anges i artikel 3.16 i förordning (EU) nr 910/2014, förutsatt att det tydligt anges att de inte är kvalificerade enligt förordning (EU) nr 910/2014.

(6)	De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Medlemsstaterna ska upprätta, offentliggöra och underhålla förteckningar över betrodda tjänsteleverantörer med uppgifter om kvalificerade tillhandahållare av betrodda tjänster som står under medlemsstaternas tillsyn, liksom uppgifter om de kvalificerade betrodda tjänster som dessa tillhandahåller. Dessa förteckningar ska uppfylla de tekniska specifikationer som anges i bilaga I.

Artikel 2

Medlemsstater får i förteckningarna över betrodda tjänsteleverantörer infoga information om icke-kvalificerade tillhandahållare av betrodda tjänster, tillsammans med information om de icke-kvalificerade betrodda tjänster som dessa tillhandahåller. I förteckningen ska det tydligt anges vilka tillhandahållare av betrodda tjänster som inte är kvalificerade, och de icke-kvalificerade betrodda tjänster de tillhandahåller.

Artikel 3

1. Enligt artikel 22.2 i förordning (EU) nr 910/2014 ska medlemsstaterna elektroniskt underteckna eller försegla (dvs. stämpla) förteckningar över betrodda tjänsteleverantörer i en form som lämpar sig för automatiserad behandling i enlighet med de tekniska specifikationer som fastställs i bilaga I.

2. Om en medlemsstat på elektronisk väg offentliggör förteckningen över betrodda tjänsteleverantörer i människoläsbar form ska den se till att förteckningen i denna form innehåller samma uppgifter som förteckningen i den form som lämpar sig för automatiserad behandling, och den ska underteckna eller stämpla den på elektronisk väg i enlighet med de tekniska specifikationer som fastställs i bilaga I.

Artikel 4

1. Medlemsstaterna ska lämna den information som avses i artikel 22.3 i förordning (EU) nr 910/2014 till kommissionen med hjälp av mallen i bilaga II.

2. Den information som avses i punkt 1 ska omfatta två eller flera certifikat för öppna nycklar från systemoperatören, med förskjutna giltighetsperioder på minst tre månader, som motsvarar de privata nycklar som kan användas till att på elektronisk väg underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer i den form som lämpar sig för automatiserad behandling och i människoläsbar form när dessa offentliggörs.

3. Enligt artikel 22.4 i förordning (EU) nr 910/2014 ska kommissionen se till att den information som avses i punkterna 1 och 2 och som anmäls av medlemsstaterna görs tillgänglig för allmänheten via en säker kanal till en autentiserad webbserver i en undertecknad eller förseglad (dvs. stämplad) form som lämpar sig för automatiserad behandling.

4. Kommissionen får se till att den information som avses i punkterna 1 och 2 och som anmäls av medlemsstaterna görs tillgänglig för allmänheten via en säker kanal till en autentiserad webbserver i undertecknad eller stämplad människoläsbar form.

Artikel 5

Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Detta beslut är till alla delar bindande och direkt tillämpligt i alla medlemsstater.

Utfärdat i Bryssel den 8 september 2015.

På kommissionens vägnar

Jean-Claude JUNCKER

Ordförande

(1) EUT L 257, 28.8.2014, s. 73.

(2) Kommissionens beslut 2009/767/EG av den 16 oktober 2009 om åtgärder som underlättar användningen av förfaranden på elektronisk väg genom gemensamma kontaktpunkter i enlighet med Europaparlamentets och rådets direktiv 2006/123/EG om tjänster på den inre marknaden (EUT L 274, 20.10.2009, s. 36).

(3) Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer (EGT L 13, 19.1.2000, s. 12).

BILAGA I

TEKNISKA SPECIFIKATIONER FÖR EN GEMENSAM MALL FÖR FÖRTECKNINGAR ÖVER BETRODDA TJÄNSTELEVERANTÖRER

KAPITEL I

ALLMÄNNA KRAV

Förteckningarna över betrodda tjänsteleverantörer ska omfatta både aktuell och historisk information om status för de tjänster som ingår i förteckningen, från det att tjänsteleverantören infogades i förteckningen.

Termerna godkännande, ackreditering och/eller tillsyn i föreliggande specifikationer omfattar även de nationella godkännandesystemen, men extra information om karaktären hos sådana nationella system kommer att tillhandahållas av medlemsstaterna i deras förteckningar över betrodda tjänsteleverantörer, inklusive klarläggande om möjliga skillnader i de tillsynssystem som tillämpas på kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som tillhandahålls.

Syftet med den information som tillhandahålls i förteckningen över betrodda tjänsteleverantörer är främst att ge stöd åt valideringen av igenkänningstecken för kvalificerade betrodda tjänster, dvs. fysiska eller binära (logiska) objekt som genereras eller utfärdas som ett resultat av en använd kvalificerad betrodd tjänst: kvalificerade elektroniska underskrifter/stämplar, avancerade elektroniska underskrifter/stämplar med stöd av ett kvalificerat certifikat, kvalificerade tidsstämplar, kvalificerade elektroniska leveransbevis osv.

KAPITEL II

DETALJSPECIFIKATIONER FÖR DEN GEMENSAMMA MALLEN FÖR FÖRTECKNINGAR ÖVER BETRODDA TJÄNSTELEVERANTÖRER

Föreliggande specifikationer utgår från de specifikationer och krav som fastställs i Etsi TS 119 612 v2.1.1 (nedan kallad Etsi TS 119 612).

När inget särskilt krav fastställs i föreliggande specifikationer ska kraven i Etsi TS 119 612, klausulerna 5 och 6, tillämpas i sin helhet. När specifika krav fastställs i föreliggande specifikationer ska de ha företräde framför motsvarande krav i Etsi TS 119 612. I händelse av skillnader mellan föreliggande specifikationer och specifikationer från Etsi 119 612 ska föreliggande specifikationer ha företräde.

Scheme name (systemnamn) (klausul 5.3.6)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.3.6 där följande namn ska användas till systemet:

EN_name_value = ”Förteckning över betrodda tjänsteleverantörer med information om de kvalificerade tillhandahållare av betrodda tjänster som står under tillsyn av den utfärdande medlemsstaten, tillsammans med information om de kvalificerade betrodda tjänster som dessa tillhandahåller, i enlighet med de relevanta bestämmelser som fastställs i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.”

Scheme information URI (URI med systeminformation) (klausul 5.3.7)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.3.7 där den ändamålsenliga informationen om systemet (appropriate information about the scheme) ska innehålla åtminstone följande:

Inledande gemensam information för alla medlemsstater om tillämpningsområde för och bakgrund till förteckningen över betrodda tjänsteleverantörer, underliggande tillsynssystem och, i förekommande fall, nationella system för godkännande, t.ex. ackreditering. Den gemensamma text som ska användas är texten nedan, i vilken teckensträngen ”[namn på medlemsstat]” ska ersättas med namnet på den relevanta medlemsstaten:

”Föreliggande förteckning är förteckningen över betrodda tjänsteleverantörer, med information om de kvalificerade tillhandahållare av betrodda tjänster som står under tillsyn av [namn på medlemsstat], tillsammans med information om de kvalificerade betrodda tjänster som dessa tillhandahåller, i enlighet med de relevanta bestämmelser som fastställs i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Den gränsöverskridande användningen av elektroniska signaturer (dvs. underskrifter) har underlättats genom kommissionens beslut 2009/767/EG av den 16 oktober 2009, i vilket fastställs medlemsstaternas skyldighet att inrätta, underhålla och offentliggöra tillförlitliga förteckningar (dvs. förteckningar över betrodda tjänsteleverantörer), med information om tillhandahållare av certifieringstjänster som utfärdar kvalificerade certifikat till allmänheten i enlighet med Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer, och som övervakas och ackrediteras av medlemsstaterna. Föreliggande förteckning över betrodda tjänsteleverantörer utgör fortsättningen av den förteckning över betrodda tjänsteleverantörer som fastställdes med beslut 2009/767/EG.”

Förteckningar över betrodda tjänsteleverantörer är viktiga faktorer när det gäller att skapa förtroende mellan operatörer på elektroniska marknader, eftersom användarna ges möjlighet att fastställa kvalificerad status och statushistorik för tillhandahållare av betrodda tjänster och deras tjänster.

Medlemsstaternas förteckningar över betrodda tjänsteleverantörer omfattar åtminstone den information som anges i artiklarna 1 och 2 i kommissionens genomförandebeslut (EU) 2015/1505.

Medlemsstater får i förteckningarna över betrodda tjänsteleverantörer infoga information om icke-kvalificerade tillhandahållare av betrodda tjänster, tillsammans med information om de icke-kvalificerade betrodda tjänster som dessa tillhandahåller. Det ska tydligt anges att de inte är kvalificerade i enlighet med förordning (EU) nr 910/2014.

Medlemsstater får i förteckningarna över betrodda tjänsteleverantörer infoga information om nationellt definierade betrodda tjänster av annan typ än de som anges i artikel 3.16 i förordning (EU) nr 910/2014. Det ska tydligt anges att de inte är kvalificerade i enlighet med förordning (EU) nr 910/2014.

Specifik information om det underliggande tillsynssystemet och, i förekommande fall, nationella system för godkännande (t.ex. ackreditering), särskilt följande (1):

1.	Information om det nationella tillsynssystem som är tillämpligt på kvalificerade och icke-kvalificerade tillhandahållare av betrodda tjänster och på de kvalificerade och icke-kvalificerade betrodda tjänster som de tillhandahåller, såsom regleras genom förordning (EU) nr 910/2014.

2.	I förekommande fall, information om det nationella frivilliga ackrediteringssystem som är tillämpligt på tillhandahållare av certifikattjänster som utfärdat kvalificerade certifikat i enlighet med direktiv 1999/93/EG.

Denna specifika information ska för varje underliggande system som anges ovan minst innehålla följande:

1.	En allmän beskrivning.

2.	Information om den process som följs för nationella tillsynssystem och, i förekommande fall, för godkännande enligt ett nationellt godkännandesystem.

3.	Information om kriterierna för tillsyn eller, i förekommande fall, godkännande av tillhandahållare av betrodda tjänster.

4.	Information om de kriterier och regler som används för att välja ut tillsynsansvariga/revisorer och om hur dessa bedömer tillhandahållare av betrodda tjänster och de betrodda tjänster som tillhandahålls.

5.	I förekommande fall, andra kontaktuppgifter och allmän information om systemets drift.

Scheme type/community/rules (typ av/gemenskap för/regler för system) (klausul 5.3.9)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.3.9.

Det ska endast innehålla URI:er på brittisk engelska.

Det ska innehålla minst två URI:er:

En URI som är gemensam för alla medlemsstaters förteckningar över betrodda tjänsteleverantörer och som länkar till en beskrivande text som ska vara tillämplig på samtliga förteckningar över betrodda tjänsteleverantörer enligt följande:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Beskrivande text:

”Participation in a scheme

Each Member State must create a trusted list including information related to the qualified trust service providers that are under supervision, together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

The present implementation of such trusted lists is also to be referred to in the list of links (pointers) towards each Member State's trusted list, compiled by the European Commission.

Policy/rules for the assessment of the listed services

Member States must supervise qualified trust service providers established in the territory of the designating Member State as laid down in Chapter III of Regulation (EU) No 910/2014 to ensure that those qualified trust service providers and the qualified trust services that they provide meet the requirements laid down in the Regulation.

The trusted lists of Member States include, as a minimum, information specified in Articles 1 and 2 of Commission Implementing Decision (EU) 2015/1505.

The trusted lists include both current and historical information about the status of listed trust services.

Each Member State's trusted list must provide information on the national supervisory scheme and where applicable, national approval (e.g. accreditation) scheme(s) under which the trust service providers and the trust services that they provide are listed.

Interpretation of the Trusted List

The general user guidelines for applications, services or products relying on a trusted list published in accordance with Regulation (EU) No 910/2014 are as follows:

The ’qualified’ status of a trust service is indicated by the combination of the ’Service type identifier’ (’Sti’) value in a service entry and the status according to the ’Service current status’ field value as from the date indicated in the ’Current status starting date and time’. Historical information about such a qualified status is similarly provided when applicable.

Regarding qualified trust service providers issuing qualified certificates for electronic signatures, for electronic seals and/or for website authentication:

A ’CA/QC’’Service type identifier’ (’Sti’) entry (possibly further qualified as being a ’RootCA-QC’ through the use of the appropriate ’Service information extension’ (’Sie’) additionalServiceInformation Extension)

—

indicates that any end-entity certificate issued by or under the CA represented by the ’Service digital identifier’ (’Sdi’) CA's public key and CA's name (both CA data to be considered as trust anchor input), is a qualified certificate (QC) provided that it includes at least one of the following:

—	the id-etsi-qcs-QcCompliance Etsi defined statement (id-etsi-qcs 1),

—	the 0.4.0.1456.1.1 (QCP+) Etsi defined certificate policy OID,

—	the 0.4.0.1456.1.2 (QCP) Etsi defined certificate policy OID,

and provided this is ensured by the Member State Supervisory Body through a valid service status (i.e. ’undersupervision’, ’supervisionincessation’, ’accredited’ or ’granted’) for that entry.

—

and IF’Sie’’Qualifications Extension’ information is present, then in addition to the above default rule, those certificates that are identified through the use of ’Sie’’Qualifications Extension’ information, constructed as a sequence of filters further identifying a set of certificates, must be considered according to the associated qualifiers providing additional information regarding their qualified status, the ’SSCD support’ and/or ’Legal person as subject’ (e.g. certificates containing a specific OID in the Certificate Policy extension, and/or having a specific ’Key usage’ pattern, and/or filtered through the use of a specific value to appear in one specific certificate field or extension, etc.). These qualifiers are part of the following set of ’Qualifiers’ used to compensate for the lack of information in the corresponding certificate content, and that are used respectively:

—

to indicate the qualified certificate nature:

—	’QCStatement’ meaning the identified certificate(s) is(are) qualified under Directive 1999/93/EC;

—	’QCForESig’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic signature under Regulation (EU) No 910/2014;

—	’QCForESeal’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic seal under Regulation (EU) No 910/2014;

—	’QCForWSA’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for web site authentication under Regulation (EU) No 910/2014.

—

to indicate that the certificate is not to be considered as qualified:

—	’NotQualified’ meaning the identified certificate(s) is(are) not to be considered as qualified; and/or

—

to indicate the nature of the SSCD support:

—	’QCWithSSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in an SSCD, or

—	’QCNoSSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in an SSCD, or

—	’QCSSCDStatusAsInCert’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key residing in an SSCD;

—

to indicate the nature of the QSCD support:

—	’QCWithQSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in a QSCD, or

—	’QCNoQSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in a QSCD, or

—	’QCQSCDStatusAsInCert’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key is residing in a QSCD;

—

’QCQSCDManagedOnBehalf’ indicating that all certificates identified by the applicable list of criteria, when they are claimed or stated as qualified, have their private key is residing in a QSCD for which the generation and management of that private key is done by a qualified TSP on behalf of the entity whose identity is certified in the certificate; and/or

—

to indicate issuance to Legal Person:

—	’QCForLegalPerson’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), are issued to a Legal Person under Directive 1999/93/EC.

Note: The information provided in the trusted list is to be considered as accurate meaning that:

—	if none of the id-etsi-qcs 1 statement, QCP OID or QCP+ OID information is included in an end-entity certificate, and

—	if no ’Sie’’Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ’QCStatement’ qualifier, or

—	an ’Sie’’Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ’NotQualified’ qualifier,

then the certificate is not to be considered as qualified.

’Service digital identifiers’ are to be used as Trust Anchors in the context of validating electronic signatures or seals for which signer's or seal creator's certificate is to be validated against TL information, hence only the public key and the associated subject name are needed as Trust Anchor information. When more than one certificate are representing the public key identifying the service, they are to be considered as Trust Anchor certificates conveying identical information with regard to the information strictly required as Trust Anchor information.

The general rule for interpretation of any other ’Sti’ type entry is that, for that ’Sti’ identified service type, the listed service named according to the ’Service name’ field value and uniquely identified by the ’Service digital identity’ field value has the current qualified or approval status according to the ’Service current status’ field value as from the date indicated in the ’Current status starting date and time’.

Specific interpretation rules for any additional information with regard to a listed service (e.g. ’Service information extensions’ field) may be found, when applicable, in the Member State specific URI as part of the present ’Scheme type/community/rules’ field.

Please refer to the applicable secondary legislation pursuant to Regulation (EU) No 910/2014 for further details on the fields, description and meaning for the Member States' trusted lists.”

En URI som är specifik för en viss medlemsstats förteckning över betrodda tjänsteleverantörer och som länkar till en beskrivande text som ska vara tillämplig på förteckningen över betrodda tjänsteleverantörer från denna medlemsstat:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC där CC = den tvåbokstavskod enligt ISO 3166–1 (2) som används i fältet ”Scheme territory” (klausul 5.3.10).

—	Användare kan här finna den aktuella medlemsstatens specifika policy/regler för bedömning av de betrodda tjänster som ingår i förteckningen, i enlighet med medlemsstatens tillsynssystem och, i förekommande fall, godkännandesystem.

—

Användare kan här finna den aktuella medlemsstatens specifika beskrivning av hur innehållet i förteckningen över betrodda tjänsteleverantörer ska användas och tolkas när det gäller de icke-kvalificerade betrodda tjänster och/eller nationellt definierade betrodda tjänster som är upptagna i förteckningen. Detta kan användas som indikation på en potentiell granularitet i det nationella godkännandesystemet för tillhandahållare av certifikattjänster som inte utfärdar kvalificerade certifikat och hur fälten ”Scheme service definition URI” (klausul 5.5.6) och ”Service information extension” (klausul 5.5.9) används för detta ändamål.

Medlemsstater får skapa och använda ytterligare URI:er som utvidgning av den ovannämnda medlemsstatsspecifika URI:n (t.ex. URI:er som definierats genom denna hierarkiska specifika URI).

TSL policy/legal notice (policy/juridiskt meddelande för förteckning över betrodda tjänster) (klausul 5.3.11)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.3.11, där policyn/det juridiska meddelandet avseende systemets juridiska status eller de juridiska krav som systemet uppfyller i etableringslandet och/eller eventuella begränsningar och villkor för förteckningens underhåll och offentliggörande ska vara en sekvens av flerspråkiga teckensträngar (se klausul 5.1.4) som, på brittisk engelska som obligatoriskt språk och ett eller flera valfria nationella språk, tillhandahåller den faktiska texten i en sådan policy eller ett sådant meddelande, uppbyggd på följande sätt:

En första obligatorisk del som är gemensam för alla medlemsstaters förteckningar över betrodda tjänsteleverantörer och som anger den tillämpliga rättsliga ramen, och vars engelska version lyder:

”The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.”

Text på en medlemsstats nationella språk (svenska):

”Tillämplig rättslig ram för föreliggande förteckning över betrodda tjänsteleverantörer är Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.”

2.	En andra valfri del som är specifik för varje förteckning över betrodda tjänsteleverantörer och som hänvisar till specifika tillämpliga nationella rättsliga ramar.

Service current status (aktuell tjänstestatus) (klausul 5.5.4)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.5.4.

Migreringen av värdet för ”Service current status” för tjänster som förtecknas i medlemsstatens förteckning över betrodda tjänsteleverantörer dagen före den dag då förordning (EU) nr 910/2014 blir tillämplig (dvs. den 30 juni 2016) ska genomföras på den dag då förordningen blir tillämplig (dvs. den 1 juli 2016), såsom anges i Annex J till Etsi TS 119 612.

KAPITEL III

KONTINUITET NÄR DET GÄLLER FÖRTECKNINGAR ÖVER BETRODDA TJÄNSTELEVERANTÖRER

Certifikat som ska anmälas till kommissionen i enlighet med artikel 4.2 i detta beslut ska uppfylla kraven i klausul 5.7.1 i Etsi TS 119 612 och ska utfärdas på ett sådant sätt att de

—	har minst tre månaders förskjutning i deras sista giltighetsdag (”inte efter”),

—	skapas på nya nyckelpar (tidigare använda nyckelpar får inte certifieras igen).

Om ett av certifikaten för öppna nycklar som kan användas till att validera underskriften eller stämpeln på förteckningen över betrodda tjänsteleverantörer, och som har anmälts till kommissionen och offentliggjorts i kommissionens centrala länkförteckning, löper ut ska medlemsstaterna,

—

om den föreliggande offentliggjorda förteckningen över betrodda tjänsteleverantörer undertecknades eller stämplades med en privat nyckel vars certifikat för öppen nyckel har löpt ut, utan dröjsmål utfärda en ny förteckning över betrodda tjänsteleverantörer som har undertecknats eller stämplats med en privat nyckel vars anmälda certifikat för öppen nyckel inte har löpt ut,

—	när så krävs, generera nya nyckelpar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer och generera deras motsvarande certifikat för öppna nycklar,

—	snarast till kommissionen anmäla den nya förteckningen över certifikat för öppna nycklar som motsvarar de privata nycklar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer.

Om en av de privata nycklarna som motsvarar ett av certifikaten för öppna nycklar som kan användas till att validera underskriften eller stämpeln på förteckningen över betrodda tjänsteleverantörer, och som har anmälts till kommissionen och offentliggjorts i kommissionens centrala länkförteckning, äventyras eller tas ur bruk ska medlemsstaterna

—

på nytt och utan dröjsmål utfärda en ny förteckning över betrodda tjänsteleverantörer, undertecknad eller stämplad med en icke äventyrad privat nyckel, om den offentliggjorda förteckningen över betrodda tjänsteleverantörer undertecknades eller stämplades med en privat nyckel som äventyrats eller tagits ut bruk,

—	när så krävs, generera nya nyckelpar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer och generera deras motsvarande certifikat för öppna nycklar,

—	snarast till kommissionen anmäla den nya förteckningen över certifikat för öppna nycklar som motsvarar de privata nycklar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer.

Om alla de privata nycklar som motsvarar de certifikat för öppna nycklar som kan användas till att validera underskriften på förteckningen över betrodda tjänsteleverantörer, och som har anmälts till kommissionen och offentliggjorts i kommissionens centrala länkförteckning, äventyras eller tas ur bruk ska medlemsstaterna

—	generera nya nyckelpar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer och generera deras motsvarande certifikat för öppna nycklar,

—	på nytt och utan dröjsmål utfärda en ny förteckning över betrodda tjänsteleverantörer, undertecknad eller stämplad med en av dessa nya privata nycklar och vars motsvarande certifikat för öppen nyckel ska anmälas,

—	snarast till kommissionen anmäla den nya förteckningen över certifikat för öppna nycklar som motsvarar de privata nycklar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer.

KAPITEL IV

SPECIFIKATIONER FÖR FÖRTECKNINGEN ÖVER BETRODDA TJÄNSTELEVERANTÖRER I MÄNNISKOLÄSBAR FORM

När en förteckning över betrodda tjänsteleverantörer i människoläsbar form fastställs och offentliggörs ska den tillhandahållas i form av ett pdf-dokument i enlighet med ISO 32000 (3) som ska formateras i enlighet med profilen PDF/A (ISO 19005 (4)).

Innehållet i den PDF/A-baserade förteckningen över betrodda tjänsteleverantörer i människoläsbar form ska uppfylla följande krav:

—	Strukturen för den människoläsbara förteckningen ska avspegla den logiska modell som beskrivs i TS 119 612.

—

Varje ingående fält ska visas tillsammans med följande uppgifter:

—	Fältets benämning (t.ex. ”Service type identifier”).

—	Fältets värde (t.ex. ”http://uri.etsi.org/TrstSvc/Svctype/CA/QC}”).

—	Betydelsen (beskrivning) av fältets värde, när detta är tillämpligt (t.ex. ”En tjänst för generering (skapande och undertecknande) av kvalificerade certifikat, på grundval av identiteten och andra attribut som verifierats av de relevanta registreringstjänsterna.”).

—	Flera versioner av naturligt språk såsom anges i förteckningen över betrodda tjänsteleverantörer, när detta är tillämpligt.

—

Åtminstone följande fält och motsvarande värden för de digitala certifikaten (5), om dessa finns i fältet ”Service digital identity”, ska visas i den människoläsbara förteckningen:

—

Version.

—	Certifikatets serienummer.

—	Signaturalgoritm.

—	Utfärdare – alla relevanta fält för distinkt namn.

—	Giltighetsperiod.

—	Subjekt – alla relevanta fält för distinkt namn.

—	Öppen nyckel.

—	Myndighet – nyckelidentifierare.

—	Subjekt – nyckelidentifierare.

—	Nyckelanvändning.

—	Utökad nyckelanvändning.

—	Certifikatpolicyer – alla policyidentifierare och policykvalificerare.

—	Policymappningar.

—	Subjekt – alternativt namn.

—	Subjekt – katalogattribut.

—	Basvillkor (basic constraints).

—	Policyvillkor (policy constraints).

—	Distributionspunkter för spärrlista (CRL distribution points) (6).

—	Myndighets åtkomst till information (authority information access).

—	Subjekts åtkomst till information (subject information access).

—	Förklaringar om kvalificerade certifikat (qualified certificate statements) (7).

—	Hashalgoritm.

—	Certifikatets hashvärde.

—	Den människoläsbara förteckningen ska lätt kunna skrivas ut.

—	Den människoläsbara förteckningen ska undertecknas eller stämplas av systemoperatören i enlighet med den avancerade underskrift för pdf som anges i artiklarna 1 och 3 i kommissionens genomförandebeslut (EU) 2015/1505.

(1) Informationen i dessa punkter är av kritisk betydelse för att förlitande parter ska kunna bedöma kvaliteten och säkerhetsnivån på sådana system. Informationen i dessa punkter ska tillhandahållas i förteckningen via fälten ”Scheme information URI” (klausul 5.3.7 – information som tillhandahålls av medlemsstaten), ”Scheme type/community/rules” (klausul 5.3.9 – med en text som är gemensam för alla medlemsstater) och ”TSL policy/legal notice” (klausul 5.3.11 – en text som är gemensam för alla medlemsstater, tillsammans med en möjlighet för varje medlemsstat att lägga till medlemsstatsspecifika texter/hänvisningar). Ytterligare information om sådana system för icke-kvalificerade betrodda tjänster och nationellt definierade (kvalificerade) betrodda tjänster får, i förekommande fall och om så krävs, tillhandahållas på tjänstenivå (t.ex. för att skilja mellan flera kvalitets- eller säkerhetsnivåer) genom användning av fältet ”Scheme service definition URI” (klausul 5.5.6).

(2) ISO 3166-1:2006: Beteckningar för namn på länder och deras indelningar – Del 1: Landskoder.

(3) ISO 32000-1:2008: Document management – Portable document format – Part 1: PDF 1.7

(4) ISO 19005-2:2011: Document management – Electronic document file format for long-term preservation – Part 2: Use of ISO 32000-1 (PDF/A-2)

(5) Rekommendation ITU-T X.509 | ISO/IEC 9594-8: Information technology – Open systems interconnection – The Directory: Public-key and attribute certificate frameworks (se http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509)

(6) RFC 5280: Internet X.509 PKI Certificate and CRL Profile.

(7) RFC 3739: Internet X.509 PKI: Qualified Certificates Profile.

BILAGA II

MALL FÖR ANMÄLAN FRÅN MEDLEMSSTATER

Den information som medlemsstater ska anmäla i enlighet med artikel 4.1 i det föreliggande beslutet ska omfatta följande uppgifter och eventuella ändringar av dessa:

Medlemsstat, med hjälp av tvåbokstavskoder enligt ISO 3166-1 (1), med följande undantag:

a)	Landskoden för Förenade kungariket ska vara ”UK”.

b)	Landskoden för Grekland ska vara ”EL”.

Det eller de organ som ansvarar för att upprätta, underhålla och offentliggöra förteckningarna över betrodda tjänsteleverantörer i en form som är lämpad för automatiserad behandling och i människoläsbar form:

a)	Systemoperatörens namn: den information som lämnas måste vara identisk – stora och små bokstäver måste stämma – med värdet för ”Scheme operator name” i den föreliggande förteckningen över betrodda tjänsteleverantörer, på samtliga språk som används i förteckningen.

Extra information endast för kommissionens interna bruk, i de fall där det berörda organet behöver kontaktas (denna information kommer inte att offentliggöras i kommissionens sammanställning med förteckningar över betrodda tjänsteleverantörer):

—	Systemoperatörens adress.

—	Kontaktuppgifter för en eller flera ansvariga personer (namn, telefon, e-postadress).

3.	Den plats där förteckningen över betrodda tjänsteleverantörer offentliggörs i en form som är lämpad för automatiserad behandling (plats där den nuvarande förteckningen över betrodda tjänsteleverantörer är offentliggjord).

Den plats där, i förekommande fall, förteckningen över betrodda tjänsteleverantörer offentliggörs i människoläsbar form (plats där den nuvarande förteckningen över betrodda tjänsteleverantörer är offentliggjord). Om en människoläsbar förteckning över betrodda tjänsteleverantörer inte längre finns offentliggjord ska detta anges.

De certifikat för öppna nycklar som motsvarar de privata nycklar som kan användas till att elektroniskt underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer i en form som är lämpad för automatiserad behandling och i människoläsbar form. Dessa certifikat ska tillhandahållas som DER-certifikat, kodade enligt Privacy Enhanced Mail Base64. I fråga om en ändringsanmälan: extra information om ett nytt certifikat ska ersätta ett visst certifikat i kommissionens förteckning och om det anmälda certifikatet ska läggas till de befintliga utan att ersätta något av dessa.

6.	Datum för inlämnande av de uppgifter i punkterna 1–5 som anmäls.

Uppgifter som anmäls i enlighet med punkterna 1, 2 a, 3, 4 och 5 ska infogas i kommissionens sammanställning med förteckningar över betrodda tjänsteleverantörer och ersätta den tidigare anmälda informationen i denna sammanställning.

(1) ISO 3166-1: Beteckningar för namn på länder och deras indelningar – Del 1: Landskoder.

Top

Choose the experimental features you want to try