51999AG0028

GEMENSAM STÅNDPUNKT (EG) nr 28/1999

antagen av rådet den 28 juni 1999

inför antagandet av Europaparlamentets och rådets direktiv 1999/.../EG av den ... om ett gemenskapsramverk för elektroniska signaturer

(1999/C 243/02)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA BESLUT

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 47.2 samt artiklarna 55 och 95 i detta,

med beaktande av kommissionens förslag(1),

med beaktande av Ekonomiska och sociala kommitténs yttrande(2),

med beaktande av Regionkommitténs yttrande(3),

enligt förfarandet i artikel 251 i fördraget(4), och

av följande skäl:

1. Den 16 april 1997 lade kommissionen fram meddelandet om ett europeiskt initiativ inom elektronisk handel för Europaparlamentet, rådet, Ekonomiska och sociala kommittén och Regionkommittén.

2. Den 8 oktober 1997 lade kommissionen fram meddelandet Säkerhet och tillförlitlighet vid elektronisk kommunikation - Mot en europeisk ram för digitala signaturer och kryptering för Europaparlamentet, rådet, Ekonomiska och sociala kommittén och Regionkommittén.

3. Den 1 december 1997 uppmanade rådet kommissionen att så snart som möjligt lägga fram ett förslag till Europaparlamentets och rådets direktiv om digitala signaturer.

4. Elektronisk kommunikation och handel kräver elektroniska signaturer och därtill hörande tjänster som gör det möjligt att autentisera uppgifter. Olika bestämmelser om rättsligt erkännande av elektroniska signaturer och ackreditering av tillhandahållare av certifikattjänster i medlemsstaterna kan skapa betydande hinder för elektronisk kommunikation och elektronisk handel. Ett tydligt gemenskapsramverk för de villkor som skall gälla för elektroniska signaturer kommer dock att stärka förtroendet för och ett allmänt godtagande av den nya tekniken. Lagstiftningen i medlemsstaterna får inte hindra den fria rörligheten för varor och tjänster på den inre marknaden.

5. Driftskompatibiliteten för produkter för elektroniska signaturer bör främjas. Enligt artikel 14 i fördraget skall den inre marknaden omfatta ett område utan inre gränser där fri rörlighet för varor säkerställs. För att kunna säkerställa fri rörlighet på den inre marknaden och bygga upp förtroendet för elektroniska signaturer måste därför vissa grundläggande krav, som är specifika för produkter för elektroniska signaturer, uppfyllas, utan att det påverkar tillämpningen av rådets förordning (EG) nr 3381/94 av den 19 december 1994 om upprättandet av en gemenskapsordning för kontroll av export av varor med dubbla användningsområden(5) och rådets beslut 94/942/GUSP av den 19 december 1994 om den gemensamma åtgärd för kontroll av export av varor med dubbla användningsområden som antagits av rådet på grundval av artikel J 3 i Fördraget om Europeiska unionen(6).

6. Detta direktiv harmoniserar inte tillhandahållande av tjänster som avser informationssekretess när dessa tjänster omfattas av nationell lagstiftning om allmän ordning eller allmän säkerhet.

7. Den inre marknaden säkerställer fri rörlighet för personer, vilket innebär att medborgare och invånare i Europeiska unionen i allt större omfattning behöver komma i kontakt med myndigheter i andra medlemsstater än den där de är bosatta. Tillgången till elektronisk kommunikation skulle kunna vara till mycket stor nytta i detta avseende.

8. Den snabba tekniska utvecklingen och Internets globala karaktär kräver öppenhet inför olika tekniker och tjänster för att autentisera uppgifter elektroniskt.

9. Elektroniska signaturer kommer att användas under mycket skiftande omständigheter och i många olika tillämpningar vilket kommer att ge upphov till ett brett utbud av nya tjänster och produkter som har anknytning till eller som utnyttjar elektroniska signaturer. Definitionen av sådana produkter och tjänster bör inte begränsas till utfärdande och hantering av certifikat utan bör också omfatta alla andra tjänster och produkter som använder eller stöder elektroniska signaturer, till exempel registrerings-, tidsregistrerings-, katalog-, databehandlings- eller konsulttjänster med anknytning till elektroniska signaturer.

10. Den inre marknaden gör det möjligt för tillhandahållare av certifikattjänster att utveckla sin gränsöverskridande verksamhet för att stärka sin konkurrenskraft och därigenom erbjuda konsumenter och företag nya möjligheter att utbyta information och bedriva elektronisk handel på ett säkert sätt oberoende av gränser. För att stimulera tillhandahållandet av certifikattjänster i hela gemenskapen via öppna nät bör tillhandahållare av certifikattjänster kunna erbjuda sina tjänster utan förhandstillstånd. Förhandstillstånd omfattar inte endast alla tillstånd som kräver ett beslut från de nationella myndigheterna innan tillhandahållaren av certifikattjänster får tillhandahålla dessa tjänster, utan också alla andra åtgärder med samma verkan.

11. Frivilliga ackrediteringssystem som syftar till en högre nivå på tillhandahållarnas tjänster kan utgöra en lämplig ram för tillhandahållare av certifikattjänster, så att de kan fortsätta att utveckla sina tjänster för att uppnå den tillförlitlighet, säkerhet och kvalitet som utvecklingen av marknaden kräver. Sådana system bör främja utarbetandet av bästa praxis bland tillhandahållare av certifikattjänster. Tillhandahållare av certifikattjänster bör ha frihet att ansluta sig till och dra fördel av sådana ackrediteringssystem.

12. Certifikattjänster kan tillhandahållas antingen av ett offentligt organ eller av en juridisk eller fysisk person etablerad i enlighet med nationell lag. Medlemsstaterna bör inte förbjuda tillhandahållare av certifikattjänster att verka utanför frivilliga ackrediteringssystem. Det bör säkerställas att ackrediteringssystem inte minskar konkurrensen när det gäller certifikattjänster.

13. Medlemsstaterna får besluta om hur de skall säkerställa att efterlevnaden av bestämmelserna i detta direktiv övervakas. Genom detta direktiv utesluts inte inrättandet av övervakningssystem baserade inom den privata sektorn. Genom detta direktiv åläggs inte tillhandahållare av certifikattjänster att ansöka om att bli övervakade enligt något tillämpligt ackrediteringssystem.

14. Det är viktigt att uppnå balans mellan konsumenternas och företagens behov.

15. I bilaga III redovisas vilka krav som ställs på säkra anordningar för skapande av signaturer för att säkerställa de avancerade elektroniska signaturernas funktionalitet. Bilagan tar inte upp hela den systemmiljö där sådana anordningar används. För att den inre marknaden skall fungera väl krävs att kommissionen och medlemsstaterna agerar snabbt för att göra det möjligt att utse de organ som skall ansvara för överensstämmelsebedömning av anordningar för säkra signaturer enligt bilaga III. För att marknadens behov skall tillgodoses måste överensstämmelsebedömningen utföras i tid och på ändamålsenligt sätt.

16. Detta direktiv kommer att bidra till användningen och det rättsliga erkännandet av elektroniska signaturer inom gemenskapen. Det behövs inget rättsligt ramverk för elektroniska signaturer som endast används inom slutna system. Dock bör elektroniska signaturer som uppfyller kraven i detta direktiv och som används inom slutna användargrupper erkännas rättsligt. Parternas frihet att sinsemellan komma överens om på vilka villkor de godkänner elektroniskt signerade uppgifter bör respekteras i den utsträckning det är förenligt med den nationella lagstiftningen.

17. Detta direktiv avser inte att harmonisera nationella avtalsrättsliga bestämmelser, till exempel upprättande och fullgörelse av avtal, eller andra utomobligatoriska formaliteter angående signaturer. Därför berör bestämmelserna om elektroniska signaturers rättsliga verkan inte formkrav som fastställs i nationell lagstiftning om ingående av avtal eller de regler som avgör var ett avtal har ingåtts.

18. Lagring och kopiering av uppgifter för skapande av signaturer kan utgöra ett hot mot den elektroniska signaturens juridiska giltighet.

19. Elektroniska signaturer kommer att användas i den offentliga sektorn inom nationella förvaltningar och gemenskapsförvaltningar samt i dessa förvaltningars kommunikation med varandra och med medborgare och ekonomiska aktörer, till exempel när det gäller offentlig upphandling, beskattning, social välfärd, hälsovård och rättssystem.

20. Harmoniserade normer för elektroniska signaturers rättsliga verkan kommer att bidra till att en enhetlig rättslig ram bibehålls i hela gemenskapen. I nationell lagstiftning uppställs olika krav för handskrivna signaturers juridiska giltighet. Certifikat kan användas för att bekräfta identiteten hos en person som undertecknar på elektronisk väg. Avancerade elektroniska signaturer baserade på kvalificerat certifikat syftar till en högre säkerhetsnivå. Avancerade elektroniska signaturer som är baserade på ett kvalificerat certifikat och som skapas genom en säker anordning för skapande av signaturer kan anses juridiskt likvärdiga med handskrivna signaturer endast om kraven för handskrivna signaturer uppfylls.

21. För att bidra till att metoderna för elektronisk autentisering godtas överlag måste det säkerställas att elektroniska signaturer kan användas som bevis vid rättsliga förfaranden i samtliga medlemsstater. Det rättsliga erkännandet av elektroniska signaturer bör baseras på objektiva kriterier och inte vara knutet till auktoriseringen av den berörda tillhandahållaren av certifikattjänster. Den nationella lagstiftningen reglerar användningen av elektroniska dokument och elektroniska signaturer. Detta direktiv påverkar inte nationella domstolars behörighet att fastslå om det föreligger överensstämmelse med kraven i direktivet och det inverkar inte på nationella bestämmelser om fri bevisprövning.

22. Tillhandahållare av certifikattjänster som tillhandahåller sådana tjänster till allmänheten omfattas av nationella bestämmelser om skadeståndsansvar.

23. Utvecklingen av internationell elektronisk handel kräver gränsöverskridande överenskommelser med tredje land.

24. För att öka kundernas förtroende för elektronisk kommunikation och elektronisk handel måste tillhandahållare av certifikattjänster iaktta dataskyddslagstiftningen och respektera privatlivets helgd.

25. Bestämmelser om användningen av pseudonymer i certifikat bör inte hindra medlemsstaterna från att kräva identifiering av personer enligt gemenskapslagstiftning eller nationell lagstiftning.

26. Kommissionen bör biträdas av en förvaltningskommitté vid tillämpningen av detta direktiv.

27. Kommissionen kommer att göra en översyn av detta direktiv två år efter det att det har genomförts bland annat för att säkerställa att de tekniska framstegen eller ändringarna vad gäller de rättsliga förutsättningarna inte har medfört några hinder för att uppnå de mål som anges i detta direktiv. Kommissionen skall undersöka konsekvenserna på andra närliggande tekniska områden och lägga fram en rapport om detta för Europaparlamentet och rådet.

28. I enlighet med subsidiaritetsprincipen och proportionalitetsprincipen i artikel 5 i fördraget kan målet att skapa en harmoniserad rättslig ram för tillhandahållandet av elektroniska signaturer och därmed förknippade tjänster inte i tillräcklig utsträckning uppnås av medlemsstaterna och kan därför bättre uppnås på gemenskapsnivå. Detta direktiv går inte utöver vad som är nödvändigt för att uppnå det målet.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Tillämpningsområde

Syftet med detta direktiv är att underlätta användningen av elektroniska signaturer och bidra till deras rättsliga erkännande. Det fastställer ett rättsligt ramverk för elektroniska signaturer och vissa certifikattjänster för att säkerställa en väl fungerande inre marknad.

Det omfattar inte frågor som avser ingående eller giltighet av avtal eller andra rättsliga förpliktelser om den nationella lagstiftningen eller gemenskapslagstiftningen föreskriver vissa formkrav, och det påverkar inte heller bestämmelser och begränsningar i nationell lagstiftning eller gemenskapslagstiftning som reglerar användningen av dokument.

Artikel 2

Definitioner

I detta direktiv används följande beteckningar med de betydelser som här anges:

1. elektronisk signatur: uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska uppgifter och som används som en metod för autentisering.

2. avancerad elektronisk signatur: en elektronisk signatur som uppfyller följande krav:

a) Den är knuten uteslutande till undertecknaren.

b) Undertecknaren kan identifieras genom den.

c) Den är skapad med medel som undertecknaren kan behålla under uteslutande sin egen kontroll.

d) Den är kopplad till de uppgifter den avser på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

3. undertecknare: en person som innehar en anordning för skapande av signaturer och som agerar antingen på sina egna vägnar eller på det organs eller den fysiska eller juridiska persons vägnar som han eller hon företräder.

4. uppgifter för skapande av signaturer: unika uppgifter, till exempel koder eller privata krypteringsnycklar som undertecknaren använder för att skapa en elektronisk signatur.

5. anordning för skapande av signaturer: en konfigurerad programvara eller hårdvara för att använda uppgifterna för skapande av signaturer.

6. säker anordning för skapande av signaturer: en anordning för skapande av signaturer vilken uppfyller kraven i bilaga III.

7. uppgifter för signaturverifiering: uppgifter, till exempel koder eller öppna kryptografiska nycklar, som används för att verifiera den elektroniska signaturen.

8. anordning för signaturverifiering: en konfigurerad programvara eller hårdvara för att använda uppgifterna för signaturverifieringen.

9. certifikat: ett intyg i elektronisk form som kopplar ihop uppgifterna för signaturverifiering med en person och bekräftar denna persons identitet.

10. kvalificerat certifikat: ett certifikat som uppfyller kraven i bilaga I och som utfärdas av en tillhandahållare av certifikattjänster som uppfyller kraven i bilaga II.

11. tillhandahållare av certifikattjänster: ett organ eller en fysisk eller juridisk person som utfärdar certifikat eller tillhandahåller andra tjänster som har anknytning till elektroniska signaturer.

12. produkt för elektroniska signaturer: maskinvara eller programvara, eller relevanta komponenter i sådana system, som är avsedda att användas av en tillhandahållare av certifikattjänster för tillhandahållande av tjänster som avser elektroniska signaturer eller som är avsedda att användas för att skapa eller verifiera elektroniska signaturer.

13. frivillig ackreditering: sådana tillstånd i vilka de rättigheter och skyldigheter fastställs som är specifika för tillhandahållandet av certifikattjänster och som på begäran av den berörda tillhandahållaren av certifikattjänster skall utfärdas av de offentliga eller privata institutioner som ansvarar för utarbetandet och övervakningen av dessa rättigheter och skyldigheter, då tillhandahållaren av certifikattjänster inte får utöva rättigheterna enligt tillståndet förrän denne har erhållit beslutet från institutionen.

Artikel 3

Marknadstillträde

1. Medlemsstaterna får inte göra tillhandahållandet av certifikattjänster beroende av förhandstillstånd.

2. Utan att det påverkar tillämpningen av bestämmelserna i punkt 1 får medlemsstaterna införa eller behålla frivilliga ackrediteringssystem som syftar till att höja nivån på tillhandahållandet av certifikattjänster. Alla villkor som gäller sådana system skall vara objektiva, tydliga, proportionella och icke-diskriminerande. Medlemsstaterna får inte begränsa antalet ackrediterade tillhandahållare av certifikattjänster av skäl som omfattas av detta direktiv.

3. Medlemsstaterna skall garantera att ett lämpligt system införs vilket gör det möjligt att övervaka de tillhandahållare av certifikattjänster som är etablerade på deras territorium och som utfärdar kvalificerade certifikat till allmänheten.

4. Lämpliga offentliga eller privata organ som medlemsstaterna utser skall avgöra om säkra anordningar för skapande av signaturer överensstämmer med kraven i bilaga III. Kommissionen skall i enlighet med förfarandet i artikel 9 fastställa kriterier för medlemsstaterna för att avgöra om ett organ bör utses.

Ett beslut som fattas av de organ som avses i första stycket om att det föreligger överensstämmelse med kraven i bilaga III skall erkännas av samtliga medlemsstater.

5. Kommissionen får i enlighet med förfarandet i artikel 9 fastställa och offentliggöra referensnummer till allmänt erkända standarder för produkter för elektroniska signaturer i Europeiska gemenskapernas officiella tidning. Medlemsstaterna skall utgå ifrån att produkter för elektroniska signaturer överensstämmer med kraven i punkt f i bilaga II samt i bilaga III om de uppfyller dessa standarder.

6. Medlemsstaterna och kommissionen skall i samarbete främja utveckling och användning av anordningar för signaturverifiering med utgångspunkt i rekommendationerna för säker signaturverifiering i bilaga IV och till gagn för konsumenterna.

7. Medlemsstaterna får förena användningen av elektroniska signaturer i den offentliga sektorn med eventuella ytterligare krav. Sådana krav skall vara objektiva, tydliga, proportionella och icke-diskriminerande och skall endast gälla de särskilda egenskaperna för den berörda tillämpningen. Dessa krav får inte utgöra ett hinder för gränsöverskridande tjänster för medborgaren.

Artikel 4

Principer för den inre marknaden

1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den antar enligt detta direktiv på tillhandahållare av certifikattjänster vilka är etablerade på dess territorium och på de tjänster som dessa tillhandahåller. Medlemsstaterna får inte begränsa tillhandahållandet av certifikattjänster, med ursprung i andra medlemsstater, på de områden som omfattas av detta direktiv.

2. Medlemsstaterna skall säkerställa att produkter för elektroniska signaturer vilka överensstämmer med detta direktiv har fri rörlighet på den inre marknaden.

Artikel 5

Rättslig verkan för elektroniska signaturer

1. Medlemsstaterna skall säkerställa att avancerade elektroniska signaturer som baseras på ett kvalificerat certifikat och som skapas av en säker anordning för skapande av signaturer

a) uppfyller de rättsliga kraven på en signatur i förhållande till uppgifter i elektronisk form, på samma sätt som en handskriven signatur uppfyller samma krav i förhållande till uppgifter på papper, och

b) godtas som bevis vid rättsliga förfaranden.

2. Medlemsstaterna skall säkerställa att en elektronisk signatur inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att signaturen

- är i elektronisk form,

- inte är baserad på ett kvalificerat certifikat,

- inte är baserad på ett kvalificerat certifikat utfärdat av en ackrediterad tillhandahållare av certifikattjänster eller

- inte är skapad av en säker anordning för skapande av signaturer.

Artikel 6

Skadeståndsansvar

1. Som ett minimikrav skall medlemsstaterna säkerställa att en tillhandahållare av certifikattjänster, genom att utfärda ett certifikat som ett kvalificerat certifikat till allmänheten eller genom att garantera ett certifikat till allmänheten, är ansvarig för skada som åsamkats ett organ eller en fysisk eller juridisk person som har rimlig anledning att förlita sig på att

a) all information i det kvalificerade certifikatet är korrekt vid tidpunkten för utfärdandet,

b) det garanteras att den undertecknare som anges i det kvalificerade certifikatet vid tidpunkten för utfärdandet av certifikatet var i besittning av de uppgifter för skapande av signaturer som motsvarar de uppgifter för signaturverifiering som anges i certifikatet,

c) det garanteras att uppgifterna för skapande av signaturer och uppgifterna för signaturverifiering kan användas som komplement till varandra om tillhandahållaren av certifikattjänster framställer båda dessa,

såvida inte tillhandahållaren av certifikattjänster bevisar att han inte har handlat försumligt.

2. Som ett minimikrav skall medlemsstaterna säkerställa att en tillhandahållare av certifikattjänster som har utfärdat ett certifikat som ett kvalificerat certifikat till allmänheten är ansvarig för skada som genom underlåtenhet att registrera återkallande av certifikatet har åsamkats ett organ eller en fysisk eller juridisk person som har rimlig anledning att förlita sig på certifikatet, såvida tillhandahållaren av certifikattjänsten inte bevisar att han inte har handlat försumligt.

3. Medlemsstaterna skall säkerställa att en tillhandahållare av certifikattjänster i ett kvalificerat certifikat får ange begränsningar i ett visst certifikats användningsområde, under förutsättning att begränsningarna är identifierbara för tredje man. Tillhandahållaren av certifikattjänster skall inte vara ansvarig för skador som uppstår på grund av att ett kvalificerat certifikat används i strid med de begränsningar som gäller för detta.

4. Medlemsstaterna skall säkerställa att en tillhandahållare av certifikattjänster i ett kvalificerat certifikat får ange en begränsning för värdet av de transaktioner för vilka certifikatet kan användas, under förutsättning att begränsningen är identifierbar för tredje man.

5. Bestämmelserna i punkterna 1-4 skall inte påverka tillämpningen av rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal(7).

Artikel 7

Internationella aspekter

1. Medlemsstaterna skall säkerställa att certifikat som utfärdas som kvalificerade certifikat till allmänheten av tillhandahållare av certifikattjänster som är etablerade i ett tredje land betraktas som rättsligt likvärdiga med certifikat som utfärdas av tillhandahållare av certifikattjänster vilka är etablerade inom gemenskapen, under förutsättning att

a) tillhandahållaren av certifikattjänster uppfyller kraven i detta direktiv och har ackrediterats enligt ett frivilligt ackrediteringssystem som upprättats i en medlemsstat, eller

b) en tillhandahållare av certifikattjänster vilken är etablerad inom gemenskapen och uppfyller kraven i detta direktiv garanterar certifikatet, eller

c) certifikatet eller tillhandahållaren av certifikattjänster är erkänd enligt ett bilateralt eller multilateralt avtal mellan gemenskapen och tredje land eller internationella organisationer.

2. För att underlätta gränsöverskridande certifikattjänster med tredje land och rättsligt erkännande av avancerade elektroniska signaturer med ursprung i tredje land skall kommissionen vid behov lägga fram förslag som syftar till ett effektivt genomförande av standarder och internationella avtal för certifikattjänster. Kommissionen skall särskilt, vid behov, överlämna förslag till rådet om lämpliga mandat för att förhandla om bilaterala och multilaterala avtal med tredje land och internationella organisationer. Rådet skall fatta beslut med kvalificerad majoritet.

3. Om kommissionen får kännedom om att företag i gemenskapen har svårigheter vad gäller marknadstillträde i tredje land, får kommissionen, om det är nödvändigt, förelägga rådet förslag om ett lämpligt förhandlingsmandat i syfte att uppnå jämförbara rättigheter för gemenskapsföretag i ett sådant tredje land. Rådet skall fatta sitt beslut med kvalificerad majoritet.

Åtgärder som vidtas enligt denna punkt skall inte påverka tillämpningen av gemenskapens och medlemsstaternas skyldigheter enligt relevanta internationella avtal.

Artikel 8

Dataskydd

1. Medlemsstaterna skall säkerställa att tillhandahållare av certifikattjänster och nationella organ med ansvar för ackreditering eller övervakning uppfyller kraven i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(8).

2. Medlemsstaterna skall säkerställa att en tillhandahållare av certifikattjänster som utfärdar certifikat till allmänheten endast får hämta personuppgifter direkt från den berörde personen eller med dennes uttryckliga medgivande och endast i den utsträckning som är nödvändig för att utfärda och bibehålla certifikatet. Uppgifterna får inte samlas in eller behandlas för andra ändamål utan uttryckligt medgivande från den berörde personen.

3. Utan att det påverkar den rättsliga verkan som enligt nationell lagstiftning ges pseudonymer får inte medlemsstaterna hindra att tillhandahållare av certifikattjänster anger en pseudonym i stället för undertecknarens namn i certifikatet.

Artikel 9

Kommitté

1. Kommittén för elektroniska signaturer, nedan kallad "kommittén", inrättas härmed. Den skall bestå av företrädare för medlemsstaterna och ha en företrädare för kommissionen som ordförande.

2. Kommissionen skall biträdas av en kommitté.

3. Kommissionens företrädare skall förelägga kommittén ett förslag till åtgärder. Kommittén skall yttra sig över förslaget inom den tid som ordföranden bestämmer med hänsyn till hur brådskande frågan är. Den skall fatta sitt beslut med den majoritet som enligt artikel 205.2 i fördraget skall tillämpas vid beslut som rådet skall fatta på förslag av kommissionen. Medlemsstaternas röster skall vägas enligt bestämmelserna i samma artikel. Ordföranden får inte rösta.

4. Kommissionens beslut skall ha omedelbar verkan. Om beslutet inte är förenligt med kommitténs yttrande skall kommissionen emellertid genast underrätta rådet. I sådana fall

- skall kommissionen uppskjuta verkställandet av de beslutande åtgärderna i tre månader räknat från den dag då rådet underrättats,

- får rådet fatta ett annat beslut med kvalificerad majoritet inom den tid som anges i föregående strecksats.

Artikel 10

Kommitténs uppgifter

Kommittén skall, i enlighet med förfarandet i artikel 9, klargöra kraven i bilagorna till detta direktiv, de kriterier som avses i artikel 3.4 samt de allmänt erkända standarder för produkter för elektroniska signaturer som fastställs och offentliggörs enligt artikel 3.5.

Artikel 11

Anmälan

1. Medlemsstaterna skall överlämna följande information till kommissionen och de övriga medlemsstaterna:

a) Information om nationella frivilliga ackrediteringssystem, inbegripet alla ytterligare krav enligt artikel 3.7.

b) Namn på och adress till de nationella organ som ansvarar för ackreditering och övervakning samt även till de organ som avses i artikel 3.4.

c) Namn på och adress till samtliga ackrediterade nationella tillhandahållare av certifikattjänster.

2. All information som skall överlämnas enligt punkt 1 och ändringar av denna information skall anmälas av medlemsstaterna så snart som möjligt.

Artikel 12

Översyn

1. Kommissionen skall göra en översyn av hur direktivet fungerar och överlämna en rapport om detta till Europaparlamentet och rådet senast den ...(9).

2. I översynen skall bland annat ingå en bedömning av om direktivets tillämpningsområde bör ändras med hänsyn till den tekniska, marknadsmässiga och rättsliga utvecklingen. Rapporten skall särskilt innehålla en bedömning av harmoniseringsfrågor på grundval av de erfarenheter som har vunnits. Rapporten skall vid behov åtföljas av förslag till bestämmelser.

Artikel 13

Överföring

1. Medlemsstaterna skall sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv senast den ...(10). De skall genast underrätta kommissionen om detta.

När en medlemsstat antar dessa bestämmelser skall de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall varje medlemsstat själv utfärda.

2. Medlemsstaterna skall till kommissionen överlämna texterna till de centrala bestämmelser i nationell lagstiftning som de antar inom det område som omfattas av detta direktiv.

Artikel 14

Ikraftträdande

Detta direktiv träder i kraft samma dag som det offentliggörs i Europeiska gemenskapernas officiella tidning.

Artikel 15

Mottagare

Detta direktiv riktar sig till medlemsstaterna.

Utfärdat i Bryssel den ...

På Europaparlamentets vägnar

...

Ordförande

På rådets vägnar

...

Ordförande

(1) EGT C 325, 23.10.1998, s. 5.

(2) EGT C 40, 15.2.1999, s. 29.

(3) EGT C 93, 6.4.1999, s. 33.

(4) Europaparlamentets yttrande av den 13 januari 1999 (EGT C 104, 14.4.1999, s. 49), rådets gemensamma ståndpunkt av den 28 juni 1999 och Europaparlamentets beslut av den (ännu ej offentliggjort i EGT)

(5) EGT L 367, 31.12.1994, s. 1. Förordningen ändrad genom förordning (EG) nr 837/95 (EGT L 90, 21.4.1995, s. 1).

(6) EGT L 367, 31.12.1994, s. 8. Beslutet senast ändrat genom beslut 1999/193/GUSP (EGT L 73, 19.3.1999, s. 1).

(7) EGT L 95, 21.4.1993, s. 29.

(8) EGT L 281, 23.11.1995, s. 31.

(9) Tre och ett halvt år efter det att detta direktiv har trätt i kraft.

(10) Ett och ett halvt år efter det att detta direktiv har trätt i kraft.

BILAGA I

Krav på kvalificerade certifikat

Kvalificerade certifikat skall innehålla följande:

a) Uppgift om att certifikatet har utfärdats som ett kvalificerat certifikat.

b) Identitetsbeteckning för tillhandahållaren av certifikattjänster och den stat i vilken tillhandahållaren är etablerad.

c) Undertecknarens namn eller pseudonym med uppgift om att det rör sig om en pseudonym.

d) Möjlighet till ett särskilt attribut för undertecknaren som i förekommande fall skall tas med, beroende på för vilket ändamål certifikatet är avsett.

e) Uppgifter för signaturverifiering som motsvarar uppgifter för skapande av signaturer som undertecknaren har kontroll över.

f) Angivande av giltighetstidens början och slut för certifikatet.

g) Certifikatets identifieringskod.

h) Den avancerade elektroniska signaturen för den tillhandahållare av certifikattjänster som utfärdar certifikatet.

i) Eventuella begränsningar av certifikatets användningsområde.

j) Eventuella begränsningar av värdet på de transaktioner för vilka certifikatet kan användas.

BILAGA II

Krav på tillhandahållare av certifikattjänster vilka utfärdar kvalificerade certifikat

Tillhandahållare av certifikatjänster skall uppfylla följande krav:

a) Visa att de har den pålitlighet som krävs för att tillhandahålla certifikattjänster.

b) Garantera driften av ett snabbt och säkert system för registrering och för säkert och omedelbart återkallande.

c) Säkerställa att exakt datum och klockslag för certifikatets utfärdande eller återkallande kan slås fast.

d) Med lämpliga medel och i överensstämmelse med nationell lagstiftning kunna kontrollera identiteten och i förekommande fall särskilda attribut hos den person till vilken ett kvalificerat certifikat utfärdas.

e) Ha personal som besitter de expertkunskaper, den erfarenhet och de kvalifikationer som krävs för de tjänster som tillhandahålls, i synnerhet i fråga om ledningskompetens, expertkunskaper avseende teknik för elektroniska signaturer och vana vid lämpliga säkerhetsrutiner. Personalen skall också använda adekvata administrativa rutiner och ledningsrutiner som uppfyller erkända standarder.

f) Använda pålitliga system och produkter som är skyddade mot ändringar och garantera teknisk och kryptografisk säkerhet i de förfaranden som stöds av dessa.

g) Vidta åtgärder mot förfalskning av certifikat och, om tillhandahållaren av certifikattjänster genererar uppgifter för skapande av signaturer, garantera att genereringen av des uppgifter sker konfidentiellt.

h) Förfoga över tillräckliga ekonomiska medel för att bedriva verksamheten i enlighet med kraven i detta direktiv, i synnerhet för att kunna bära risken för skadeståndsskyldighet, till exempel genom en lämplig försäkring.

i) Lagra all relevant information om ett kvalificerat certifikat under en lämplig tidsperiod, särskilt för att vid rättsliga förfaranden kunna lägga fram bevis om utfärdande av certifikat. Lagringen får göras elektroniskt.

j) Inte lagra eller kopiera uppgifter för skapande av signaturer om den person som tillhandahållaren av certifikattjänster har erbjudit nyckelhanteringstjänster.

k) Innan de ingår ett avtalsförhållande med en person som önskar ett certifikat till stöd för sin elektroniska signatur, informera den personen via ett varaktigt kommunikationsmedel om de exakta villkor som gäller för användning av certifikatet, inbegripet eventuella begränsningar av dess användning, förekomsten av ett frivilligt ackrediteringssystem samt förfaranden för klagomål och avgörande av tvister. Sådan information, som får överföras elektroniskt, måste vara skriftlig samt avfattad på ett lättbegripligt språk. Relevanta delar av informationen skall även på begäran göras tillgängliga för tredje man som är beroende av certifikatet.

l) Använda tillförlitliga system för lagring av certifikat i verifierbar form så att

- enbart behöriga personer kan föra in uppgifter och göra ändringar,

- uppgifters autenticitet kan kontrolleras,

- certifikaten är offentligt tillgängliga för hämtning av uppgifter endast i de fall för vilka certifikatinnehavarens samtycke har inhämtats, samt

- tekniska förändringar som äventyrar dessa säkerhetskrav är uppenbara för den som har hand om systemet.

BILAGA III

Krav på säkra anordningar för skapande av signaturer

1. Säkra anordningar för skapande av signaturer skall genom lämpliga tekniker och förfaranden säkerställa att åtminstone

a) de uppgifter för skapande av signaturer som används för att generera signaturen praktiskt taget enbart kan förekomma en gång, och att sekretessen avseende dessa uppgifter är säkerställd inom rimliga gränser,

b) de uppgifter för skapande av signaturer som används för att generera signaturen inte med rimlig garanti kan härledas och att signaturen är skyddad mot förfalskning med den teknik som för närvarande finns tillgänglig,

c) de uppgifter för skapande av signaturer som används för att generera signaturen kan skyddas på ett tillförlitligt sätt av den legitime undertecknaren så att andra inte kan använda dem.

2. Säkra anordningar för skapande av signaturer får inte förändra de uppgifter som skall signeras eller hindra att dessa uppgifter presenteras för undertecknaren före undertecknandet.

BILAGA IV

Rekommendationer för säker signaturverifiering

Under signaturverifieringsprocessen skall med rimlig säkerhet garanteras

a) att de uppgifter som används för att utföra signaturverifiering överensstämmer med de uppgifter som visas för den som utför verifieringen,

b) att signaturen kontrolleras på ett tillförlitligt sätt och att resultatet av verifieringen anges korrekt,

c) att den som utför verifieringen vid behov på ett tillförlitligt sätt kan fastställa innehållet i de signerade uppgifterna,

d) att det begärda certifikatets autenticitet och giltighet på ett tillfredsställande sätt kontrollerats när signaturverifieringen utförs,

e) att resultatet av kontrollen och undertecknarens identitet korrekt anges,

f) att användning av pseudonym tydligt anges, samt

g) att alla förändringar av betydelse för säkerheten kan upptäckas.

RÅDETS MOTIVERING

I. INLEDNING

1) Kommissionen lade den 16 juni 1998 fram ett förslag till Europaparlamentets och rådets direktiv om en gemensam ram för elektroniska signaturer.

2) Europaparlamentet lämnade sitt yttrande efter första behandlingen den 13 januari 1999 och Ekonomiska och sociala kommittén och Regionkommittén lämnade sina yttranden den 3 december 1998 respektive den 14 januari 1999.

3) Rådet antog den 28 juni 1999 sin gemensamma ståndpunkt i enlighet med artikel 251 i fördraget.

II. SYFTE

Detta förslag syftar till att säkerställa att den inre marknaden fungerar väl i fråga om elektroniska signaturer genom att en harmoniserad rättslig ram fastställs.

Denna ram, som består av en serie kriterier som skall fungera som grundval för det rättsliga erkännandet av elektroniska signaturer, kommer att underlätta användningen av dessa signaturer och göra det möjligt för konsumenter och företag i Europa att helt och fullt utnyttja de möjligheter som elektronisk kommunikation erbjuder.

III. ANALYS AV DEN GEMENSAMMA STÅNDPUNKTEN

A. ALLMÄNNA OBSERVATIONER

Även om rådet godtagit det tillvägagångssätt och de villkor som kommissionen föreslagit och som parlamentet gett sitt stöd till, ansågs det nödvändigt när den gemensamma ståndpunkten utarbetades, att lägga till ett visst antal ändringar i sak och på det redaktionella planet till förslaget till direktivet.

Rådet var särskilt angeläget om följande när ändringarna utarbetades:

- Att bestämmelserna i det nya direktivet skulle bli tydligare och lättare att förstå.

- Att säkerheten i den elektroniska kommunikationen skulle säkerställas.

- Att de olika tekniker och tjänster som gör det möjligt att autentisera uppgifter som överförs elektroniskt bättre skulle beaktas.

- Att större hänsyn skulle tas till variationen i de nationella förhållandena.

B. SÄRSKILDA OBSERVATIONER

1) De huvudsakliga ändringar som gjorts i kommissionens förslag

a) Skillnaden mellan avancerade elektroniska signaturer och övriga elektroniska signaturer

Enligt det tillvägagångssätt som rådet valt, är den avancerade elektroniska signaturen en signatur som erbjuder en hög grad av säkerhet och som uppfyller kraven på giltighet på samma sätt som en handskriven signatur (jfr artikel 2.2 och artikel 5.1).

En sådan signatur kräver alltså å ena sidan ett fastställt kvalificerat certifikat som upprättas och utfärdas med beaktande av ett antal krav (jfr de krav som anges i bilaga I om kvalificerade certifikat och de som anges i bilaga II om den som tillhandahåller certifikattjänster), å andra sidan vara genererade av säkra anordningar för skapande av signaturer (jfr de krav som anges i bilaga III).

När det gäller övriga elektroniska signaturer bör de minst omfattas av principen om icke-diskriminering och skall inte förvägras rättslig verkan enbart på den grunden att de är i elektronisk form eller att de inte motsvarar de krav som ställts upp för de avancerade elektroniska signaturerna. (jfr artikel 2.1 och artikel 5.2).

b) Tilläggsåtgärder som skall förbättra nivån på de tjänster som tillhandahållaren av certifikattjänster erbjuder

I den gemensamma ståndpunkten bekräftas visserligen principen om förbud mot alla typer av förhandstillstånd för tillhandahållande av certifikattjänster, men stöds å ena sidan införandet i medlemsstaterna av frivilliga ackrediteringssystem som syftar till att förbättra nivån på dessa tjänster, och åläggs å andra sidan medlemsstaterna skyldigheten att införa ett lämpligt system för övervakning av tillhandahållare av certifikattjänster som utfärdar kvalificerade certifikat till allmänheten (jfr artikel 3.2 och 3.3).

I den gemensamma ståndpunkten utvidgas dessutom skadeståndansvaret för tillhandahållare av tjänster till att gälla att innehållet i de kvalificerade certifikat som de utfärdar skall vara giltigt, för att höja certifikatanvändarnas förtroende (jfr artikel 6). Detta skadeståndsansvar omfattar särskilt återkallande av certifikat (jfr artikel 6.2).

c) Den kommitté som skall biträda kommissionen

Rådet bedömde det som önskvärt att för denna kommitté inrätta ett förfarande med en föreskrivande kommitté av typ IIB med anledning av de viktiga uppgifter som den kommer att få (jfr artiklarna 9 och 10).

Denna kommitté kommer att ha i uppgift att

- förtydliga de krav som anges i bilagorna till direktivet,

- utfärda kriterier för hur de nationella organ skall utses som skall avgöra att de säkra anordningar för signaturgenerering som skall användas för de avancerade signaturerna överensstämmer med direktivet (jfr artikel 3.4),

- fastställa allmänt erkända standarder för produkter för elektroniska signaturer, som om de uppfylls låter förmoda överensstämmelse med kraven i direktivet (jfr artikel 3.5).

d) Rekommendationer om anordningar för signaturverifiering

I den gemensamma ståndpunkten formuleras ett antal rekommendationer som syftar till att så långt som möjligt göra processen med verifiering av avancerad elektronisk signatur tillförlitlig och medlemsstaterna och kommissionen uppmanas samarbeta för att främja utveckling och användning av säkra anordningar för signaturverifiering (jfr artikel 3.6 och bilaga IV).

2) Rådets ståndpunkt visavi Europaparlamentets ändringsförslag

a) Ändringsförslag som helt eller delvis antagits i den gemensamma ståndpunkten

Rådet har antagit ändringsförslag 3, 11, 12, 14, 18, 20, 31, 32, 33 och 34 ordagrant och 2, 13, 21, 22 och 25 i sak.

Rådet har delvis antagit ändringsförslag 4, 9 och 17 och i detta avseende anpassat sig till kommissionens ståndpunkt.

b) Ändringsförslag som inte antagits i den gemensamma ståndpunkten

Rådet antog inte ändringsförslag 1, 6, 7, 10, 15, 23, 24, 26, 28 och 29, och anslöt sig därigenom till kommissionens negativa yttrande.

Rådet antog inte ändringsförslag 5, 16, 27 och 30 och grundade sig därvid på följande överväganden:

- Ändringsförslag 5 om att medborgare i Europeiska unionen i allt större omfattning kommer att ha kontakt med myndigheter i andra medlemsstater än den där de är bosatta (nytt skäl i ingressen).

Rådet ansåg att i artikel 3.7, där det föreskrivs att medlemsstaterna inte får skapa hinder för gränsöverskridande tjänster när de inför regler för användning av elektroniska signaturer i den offentliga sektorn, beaktas Europaparlamentets farhågor i detta avseende.

- Ändringsförslag 16, om erkännande av ackrediteringssystem som hanteras av organ som är oberoende av medlemsstaternas förvaltningar (artikel 3.2).

Rådet ansåg att Europaparlamentets farhågor undanröjs i definitionen på frivillig ackreditering som införts i artikel 2.13.

- Ändringsförslag 27 om överföring till offentliga myndigheter uppgifter om identiteten i de fall då en pseudonym används (artikel 8.4).

Rådet ansåg att förslaget om att endast tillåta sådan överföring vid brottsutredningar eller domstolsprövningar var alltför restriktivt och att det särskilt kunde innebära risk för att elektronisk kommunikation i olagligt syfte uppmuntras.

- Ändringsförslag 30 som hänvisar till nationella "erkända" organ när det gäller anmälan av de organ som skall ansvara för ackreditering och övervakning (artikel 11).

Rådet ansåg att uttrycket "erkända organ" som inte definieras eller nämns i resten av direktivet, kunde ge tolkningsproblem.