51999PC0626

KOMMISSIONENS YTTRANDE enligt artikel 251.2 c i EG-fördraget över Europaparlamentets ändringsförslag till rådets gemensamma ståndpunkt om Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV om ett gemenskapsramverk för elektroniska signaturer MED ÄNDRING AV KOMMISSIONENS FÖRSLAG enligt artikel 250.2 i EG-fördraget

MOTIVERING

Enligt artikel 251.2 c i fördraget skall kommissionen yttra sig över de ändringar som Europaparlamentet föreslagit vid den andra behandlingen.

Kommissionen yttrar sig härmed över ändringsförslagen till rådets gemensamma ståndpunkt om förslaget till Europaparlamentets och rådets direktiv om ett gemenskapsramverk för elektroniska signaturer.

I det ändrade förslaget ingår de ändringar som Europaparlamentet föreslagit vid den andra behandlingen och som kommissionen godtagit.

Ändringarna i kommissionens förslag har framhävts genom att text som tagits bort är överstruken och att fet stil och understrykningar används för ny eller ändrad text.

1. INLEDNING

1.1. a) Bakgrund

Den 13 maj 1998 antog kommissionen ett förslag till Europaparlamentets och rådets direktiv om en gemensam ram för elektroniska signaturer (KOM(1998) 297 slutlig) [1]. Förslaget överlämnades formellt till Europaparlamentet och rådet den 16 juni 1998.

[1] EGT C 325, 23.10.1998, s. 5.

Ekonomiska och sociala kommittén avgav sitt yttrande den 2-3 december 1998 [2] och Regionkommittén den 13-14 januari 1999 [3].

[2] EGT C 40, 15.2.1999, s. 29.

[3] EGT C 93, 6.4.1999, s. 33.

Europaparlamentet ställde sig bakom förslaget genom den resolution som antogs vid den första behandlingen den 13 januari 1999, och föreslog 32 ändringar till kommissionens förslag [4].

[4] EGT C 104, 14.4.1999, s. 49.

Den 29 april 1999 antog kommissionen ett ändrat förslag [5], i enlighet med artikel 250.2 i fördraget, i vilket 22 av ändringsförslaget helt, delvis eller i princip hade tagits med.

[5] KOM(1999) 195 slutlig, 29.4.1999.

Rådet, som handlar i enlighet med artikel 251 i fördraget, antog formellt en gemensam ståndpunkt den 28 juni 1999 [6] som kommissionen yttrade sig över den 16 juli 1999. [7]

[6] EGT C 243, 27.8.1999, s. 33.

[7] SEK(1999) 1154 slutlig, 16.7.1999 (ännu ej offentliggjort).

Vid den andra behandlingen föreslog Europaparlamentet den 27 oktober 1999 fem ändringar till den gemensamma ståndpunkten [8].

[8] Dok. A5 - 0034/1999.

1.2. b) Syftet med kommissionens förslag

Syftet med detta direktiv är att underlätta användningen av elektroniska signaturer och att bidra till att de vinner erkännande i juridisk mening. Genom direktivet skall det upprättas en rättslig ram för elektroniska signaturer och vissa certifikattjänster, för att den inre marknaden skall fungera. Den rättsliga grunden för förslaget är artiklarna 47.2, 55 och 95 i fördraget.

Förslaget, som är teknikneutralt, koncentreras på certifikat som utfärdas till allmänheten och som syftar till att identifiera den som har skickat elektroniska data. För att främja utvecklingen av certifikattjänster hindrar direktivet medlemsstaterna från att kräva att tillhandahållare av certifikattjänster innehar förhandstillstånd. Medlemsstaterna har dock möjlighet att upprätta frivilliga ackrediteringssystem. Genom direktivet erkänns elektroniska signaturer som likvärdiga med handskrivna signaturer, och dessutom fastställs skadeståndsansvaret för tillhandahållare av sådana tjänster. I det föreslagna direktivet föreskrivs också att det skall bedrivas samarbete med tredje land för att uppfylla kraven när det gäller globala elektroniska kommunikationer.

2. KOMMISSIONENS YTTRANDE ÖVER EUROPAPARLAMENTETS ÄNDRINGSFÖRSLAG

Kommissionen kunde helt godta samtliga fem ändringsförslag som Europaparlamentet antog vid den andra behandlingen.

Kommissionen godtog dessa ändringsförslag eftersom de förtydligar förslaget och gör det mer konsekvent.

3. SLUTSATSER

Kommissionen har helt godkänt samtliga ändringsförslag som Europaparlamentet antog vid andra behandlingen.

I enlighet med artikel 250.2 i EG-fördraget ändrar kommissionen sitt ursprungliga förslag genom att föra in dessa ändringar.

4. DET ÄNDRADE FÖRSLAGET

a) Principer

Som svar på den andra behandlingen i Europaparlamentet har ett antal nya bestämmelser godtagits. De flesta av dessa innebär att tvetydigheter försvinner eller att texten blir klarare och mer konsekvent. Dessutom finns det några nya idéer som bygger på den ursprungliga texten, men som inte ändrar de grundläggande principerna.

b) Förklaring till de viktigaste ändringarna

1. Ändring av skäl 16:

Som Europaparlamentet föreslog genom ändringsförslag 1 har man i det ändrade förslaget lagt till att direktivet inte skall reglera system som regleras genom privaträttsliga avtal. Syftet med den föreslagna ändringen är att uttryckligen föra in principen om parternas frihet genom att ange dels att det inte behövs någon lagstiftning för system som grundas på frivilliga privaträttsliga överenskommelser mellan ett visst antal deltagare, dels att elektroniska signaturer som används i sådana system måste anses som rättsligt bindande och godtas som bevisning vid rättsliga förfaranden.

Begreppet "slutna användargrupper" har strukits i den nya formuleringen. Detta är en fördel eftersom "slutna system" inte anges i själva direktivet; i stället hänvisas det till rättsliga avtal mellan privatpersoner. Detta innebär att man undviker att skapa osäkerhet rättsligt sett när det gäller den exakta definitionen av "slutna användargrupper", som är ett begrepp som inte förekommer inom civilrätten.

2. Ändring av skäl 23:

Europaparlamentets ändringsförslag 3 har förts in i förslaget genom att en ny mening lagts till i skäl 23. Där betonas att det kan vara lämpligt att ingå multilaterala överenskommelser med tredje land om ömsesidigt erkännande av certifikattjänster för att kunna säkerställa en global driftskompatibilitet. Detta är i överensstämmelse med bestämmelserna i artikel 7 i det föreslagna direktivet, där den globala dimensionen särskilt behandlas. Enligt artikel 7.2 skall kommissionen lägga fram förslag för att underlätta gränsöverskridande certifikattjänster, framför allt när det gäller genomförande av standarder och internationella avtal för certifikattjänster.

Med tanke på den elektroniska handels globala karaktär är det viktigt att arbeta för att åstadkomma ett ömsesidigt erkännande av certifikat på den globala marknaden. Syftet med den nya meningen är att detta skall betonas.

3. Ändring av artikel 6:

Som Europaparlamentet föreslagit genom ändringsförslagen 4 och 5 har det gjorts två ändringar i artikel 6.

För det första har en ny mening lagts till i artikel 6.1 a genom vilken det säkerställs att tillhandahållare av certifikattjänster skall ansvara, inte bara för att all information i det kvalificerade certifikatet är korrekt, utan även för att certifikatet innehåller alla de uppgifter som föreskrivs för ett kvalificerat certifikat.

Detta är av stor betydelse eftersom det för en konsument är viktigt både att den information som återfinns i certifikatet är korrekt och att certifikatet innehåller all information som är nödvändig för att det skall anses vara ett kvalificerat certifikat. Denna ändring innebär således att artikel 6.1 blir tydligare.

För det andra har Europaparlamentets ändringsförslag 5 förts in genom att det lagts till en ny mening i artikel 6.4. I denna mening anges att tillhandahållaren av certifikattjänster inte skall vara ansvarig för skador som beror på att ett kvalificerat certifikat använts på ett sådant sätt att man överskridit begränsningen för värdet av de transaktioner för vilka certifikatet kan användas. Genom denna bestämmelse klargörs det att tillhandahållare av certifikattjänster inte skall hålla ansvariga för en sådan begränsning överskridits.

Denna ändring medför att artikel 6.3, där en liknande bestämmelse redan finns, stämmer bättre överens med artikel 6.4.

4. Förtydligande av texten:

Som Europaparlamentet föreslagit genom ändringsförslag 2 har skäl 21 omformulerats. Detta skäl avser artikel 5.1 och syftet är att betona att det är nationell lagstiftning som reglerar inom vilka områden medlemsstaterna kan tillåta att elektroniska dokument och elektroniska signaturer används. Detta skäl ingick i en kompromiss mellan kommissionen och medlemsstaterna som gick ut på att mildra den skarpa formuleringen i artikel 5.1 där det anges att medlemsstaterna skall se till att avancerade elektroniska signaturer uppfyller de rättsliga kraven för signaturer på samma sätt som handskrivna signaturer.

Genom att meningen ändrats blir det tydligare att det är nationella lagar som reglerar inom vilka områden elektroniska dokument och signaturer kan användas.

Ändrat förslag [9] till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV om ett gemenskapsramverk för elektroniska signaturer

[9] Detta dokument är baserat på den tyska originalversionen av Europaparlamentets ändringsförslag.

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV,

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 47.2, samt artiklarna 55 och 95 i detta,

med beaktande av kommissionens förslag [10],

[10] EGT C 325, 23.10.1998, s. 5.

med beaktande av Ekonomiska och sociala kommitténs yttrande [11],

[11] EGT C 40, 15.2.1999, s. 29.

med beaktande av Regionkommitténs yttrande [12],

[12] Yttrandet avgett den 13-14 januari 1999 (EGT C 93, 6.4.1999, s. 33).

enligt förfarandet i artikel 251 i fördraget [13], och

[13] Europaparlamentets yttrande av den 13 januari 1999 (EGT C 104, 14.4.1999, s. 49) , rådets gemensamma ståndpunkt av den... (ännu ej offentliggjord i EGT) och Europaparlamentets beslut av den... (ännu ej offentliggjort i EGT).

av följande skäl:

(1) Den 16 april 1997 lade kommissionen fram meddelandet om ett europeiskt initiativ inom elektronisk handel för Europaparlamentet, rådet, Ekonomiska och sociala kommittén och Regionkommittén.

(2) Den 8 oktober 1997 lade kommissionen fram meddelandet Säkerhet och tillförlitlighet vid elektronisk kommunikation - Mot en europeisk ram för digitala signaturer och kryptering för Europaparlamentet, rådet, Ekonomiska och sociala kommittén och Regionkommittén.

(3) Den 1 december 1997 uppmanade rådet kommissionen att så snart som möjligt lägga fram ett förslag till Europaparlamentets och rådets direktiv om digitala signaturer.

(4) Elektronisk kommunikation och handel kräver elektroniska signaturer och därtill hörande tjänster som gör det möjligt att autentisera data. Olika bestämmelser om rättsligt erkännande av elektroniska signaturer och ackreditering av tillhandahållare av certifikattjänster i medlemsstaterna kan skapa betydande hinder för elektronisk kommunikation och elektronisk handel. Ett tydligt gemenskapsramverk för de villkor som skall gälla för elektroniska signaturer kommer dock att stärka förtroendet för och ett allmänt godtagande av den nya tekniken. Lagstiftningen i medlemsstaterna får inte hindra den fria rörligheten för varor och tjänster på den inre marknaden.

(5) Driftskompatibiliteten för produkter för elektroniska signaturer bör främjas. Enligt artikel 14 i fördraget skall den inre marknaden omfatta ett område utan inre gränser där fri rörlighet för varor säkerställs. För att kunna säkerställa fri rörlighet på den inre marknaden och bygga upp förtroendet för elektroniska signaturer måste därför vissa grundläggande krav, som är specifika för produkter för elektroniska signaturer, uppfyllas, utan att det påverkar tillämpningen av rådets förordning (EG) nr 3381/94 av den 19 december 1994 om upprättandet av en gemenskapsordning för kontroll av export av varor med dubbla användningsområden [14] och rådets beslut 94/942/GUSP av den 19 december 1994 om den gemensamma åtgärd för kontroll av export av varor med dubbla användningsområden som antagits av rådet på grundval av artikel J 3 i Fördraget om Europeiska unionen [15].

[14] EGT L 367, 31.12.1994, s. 1. Förordningen ändrad genom förordning (EG) nr 837/95 (EGT L 90, 21.4.1995, s. 1).

[15] EGT L 367, 31.12.1994, s. 8. Beslutet senast ändrat genom beslut 99/193/GUSP (EGT L 73, 19.3.1999, s. 1).

(6) Detta direktiv harmoniserar inte tillhandahållande av tjänster som avser informationssekretess när dessa tjänster omfattas av nationell lagstiftning om allmän ordning eller allmän säkerhet.

(7) Den inre marknaden säkerställer fri rörlighet för personer, vilket innebär att medborgare och invånare i Europeiska unionen i allt större omfattning behöver kommer i kontakt med myndigheter i andra medlemsstater än den där de är bosatta. Tillgången till elektronisk kommunikation skulle kunna vara till mycket stor nytta i detta avseende.

(8) Den snabba tekniska utvecklingen och Internets globala karaktär kräver öppenhet inför olika tekniker och tjänster för att autentisera uppgifter elektroniskt.

(9) Elektroniska signaturer kommer att användas under mycket skiftande omständigheter och i många olika tillämpningar vilket kommer att ge upphov till ett brett utbud av nya tjänster och produkter som har anknytning till eller som utnyttjar elektroniska signaturer. Definitionen av sådana produkter och tjänster bör inte begränsas till utfärdande och hantering av certifikat utan bör också omfatta alla andra tjänster och produkter som använder eller stöder elektroniska signaturer, till exempel registrerings-, tidsregistrerings-, katalog-, databehandlings- eller konsulttjänster med anknytning till elektroniska signaturer.

(10) Den inre marknaden gör det möjligt för tillhandahållare av certifikattjänster att utveckla sin gränsöverskridande verksamhet för att stärka sin konkurrenskraft och därigenom erbjuda konsumenter och företag nya möjligheter att utbyta information och bedriva elektronisk handel på ett säkert sätt oberoende av gränser. För att stimulera tillhandahållandet av certifikattjänster i hela gemenskapen via öppna nät bör tillhandahållare av certifikattjänster kunna erbjuda sina tjänster utan förhandstillstånd. Förhandstillstånd omfattar inte endast alla tillstånd som kräver ett beslut från de nationella myndigheterna innan tillhandahållaren av certifikattjänster får tillhandahålla dessa tjänster, utan också alla andra åtgärder med samma verkan.

(11) Frivilliga ackrediteringssystem som syftar till en högre nivå på tillhandahållarnas tjänster kan utgöra en lämplig ram för tillhandahållare av certifikattjänster, så att de kan fortsätta att utveckla sina tjänster för att uppnå den tillförlitlighet, säkerhet och kvalitet som utvecklingen av marknaden kräver. Sådana system bör främja utarbetandet av bästa praxis bland tillhandahållare av certifikattjänster. Tillhandahållare av certifikattjänster bör ha frihet att ansluta sig till och dra fördel av sådana ackrediteringssystem.

(12) Certifikattjänster kan tillhandahållas antingen av ett offentligt organ eller av en juridisk eller fysisk person etablerad i enlighet med nationell lag. Medlemsstaterna bör inte förbjuda tillhandahållare av certifikattjänster att verka utanför frivilliga ackrediteringssystem. Det bör säkerställas att ackrediteringssystem inte minskar konkurrensen när det gäller certifikattjänster.

(13) Medlemsstaterna får besluta om hur de skall säkerställa att efterlevnaden av bestämmelserna i detta direktiv övervakas. Genom detta direktiv utesluts inte inrättandet av övervakningssystem baserade inom den privata sektorn. Genom detta direktiv åläggs inte tillhandahållare av certifikattjänster att ansöka om att bli övervakande enligt något tillämpligt ackrediteringssystem.

(14) Det är viktigt att uppnå balans mellan konsumenternas och företagens behov.

(15) I bilaga III redovisas vilka krav som ställs på säkra anordningar för skapande av signaturer för att säkerställa de avancerade elektroniska signaturernas funktionalitet. Bilagan tar inte upp hela den systemmiljö där sådana anordningar används. För att den inre marknaden skall fungera väl krävs att kommissionen och medlemsstaterna agerar snabbt för att göra det möjligt att utse de organ som skall ansvara för överensstämmelsebedömning av anordningar för säkra signaturer enligt bilaga III. För att marknadens behov skall tillgodoses måste överensstämmelsebedömningen utföras i tid och på ändamålsenligt sätt.

(16) Detta direktiv kommer att bidra till användningen och det rättsliga erkännandet av elektroniska signaturer inom gemenskapen. Det behövs ingen lagstiftning för elektroniska signaturer som endast används inom system, som grundar sig på frivilliga, privaträttsliga överenskommelser mellan ett visst antal parter. Parternas frihet att sinsemellan komma överens om på vilka villkor de godkänner elektroniskt signerade uppgifter bör respekteras i den utsträckning det är förenligt med den nationella lagstiftningen. De elektroniska signaturer som används i sådana system måste anses som rättsligt bindande och godtas som bevisning vid rättsliga förfaranden.

(17) Detta direktiv avser inte att harmonisera nationella avtalsrättsliga bestämmelser, till exempel upprättande och fullgörelse av avtal, eller andra utomobligatoriska formaliteter angående signaturer. Därför berör bestämmelserna om elektroniska signaturers rättsliga verkan inte formkrav som fastställs i nationell lagstiftning om ingående av avtal eller de regler som avgör var ett avtal har ingåtts.

(18) Lagring och kopiering av uppgifter för skapande av signaturer kan utgöra ett hot mot den elektroniska signaturens juridiska giltighet.

(19) Elektroniska signaturer kommer att användas i den offentliga sektorn inom nationella förvaltningar och gemenskapsförvaltningar samt i dessa förvaltningars kommunikation med varandra och med medborgare och ekonomiska aktörer, till exempel när det gäller offentlig upphandling, beskattning, social välfärd, hälsovård och rättssystem.

(20) Harmoniserade normer för elektroniska signaturers rättsliga verkan kommer att bidra till att en enhetlig rättslig ram bibehålls i hela gemenskapen. I nationell lagstiftning uppställs olika krav för handskrivna signaturers juridiska giltighet. Certifikat kan användas för att bekräfta identiteten hos en person som undertecknar på elektronisk väg. Avancerade elektroniska signaturer baserade på kvalificerat certifikat syftar till en högre säkerhetsnivå. Avancerade elektroniska signaturer som är baserade på ett kvalificerat certifikat och som skapas genom en säker anordning för skapande av signaturer kan anses juridiskt likvärdiga med handskrivna signaturer endast om kraven för handskrivna signaturer uppfylls.

(21) För att bidra till att metoderna för elektronisk autentisering godtas överlag måste det säkerställas att elektroniska signaturer kan användas som bevis vid rättsliga förfaranden i samtliga medlemsstater. Det rättsliga erkännandet av elektroniska signaturer bör baseras på objektiva kriterier och inte vara knutet till auktoriseringen av den berörda tillhandahållaren av certifikattjänster. Den nationella lagstiftningen reglerar inom vilka områden elektroniska dokument och elektroniska signaturer kan användas. Detta direktiv påverkar inte nationella domstolars behörighet att fastslå om det föreligger överensstämmelse med kraven i direktivet och det inverkar inte på nationella bestämmelser om fri bevisprövning.

(22) Tillhandahållare av certifikattjänster som tillhandahåller sådana tjänster till allmänheten omfattas av nationella bestämmelser om skadeståndsansvar.

(23) Utvecklingen av internationell elektronisk handel kräver gränsöverskridande överenskommelser med tredje land. För att kunna säkerställa en global driftskompatibilitet kan det vara lämpligt att ingå överenskommelser med tredje land rörande multilaterala bestämmelser om ömsesidigt erkännande av certifikattjänster.

(24) För att öka kundernas förtroende för elektronisk kommunikation och elektronisk handel måste tillhandahållare av certifikattjänster iaktta dataskyddslagstiftningen och respektera privatlivets helgd.

(25) Bestämmelser om användningen av pseudonymer i certifikat bör inte hindra medlemsstaterna från att kräva identifiering av personer enligt gemenskapslagstiftning eller nationell lagstiftning.

(26) Kommissionen bör biträdas av en förvaltningskommitté vid tillämpningen av detta direktiv. Eftersom de åtgärder som krävs för genomförandet av detta direktiv är förvaltningsåtgärder enligt artikel 2 i rådets beslut 1999/468/EG av den 28 juni 1999 om de förfaranden som skall tillämpas vid utövandet av kommissionens genomförandebefogenheter [16], bör de antas genom det förvaltningsförfarande som föreskrivs i artikel 4 i det beslutet.

[16] EGTL 184, 17.7.1999, s. 23.

(27) Kommissionen kommer att göra en översyn av detta direktiv två år efter det att det har genomförts bland annat för att säkerställa att de tekniska framstegen eller ändringarna vad gäller de rättsliga förutsättningarna inte har medfört några hinder för att uppnå de mål som anges i detta direktiv. Kommissionen skall undersöka konsekvenserna på andra närliggande tekniska områden och lägga fram en rapport om detta för Europaparlamentet och rådet.

(28) I enlighet med subsidiaritetsprincipen och proportionalitetsprincipen i artikel 5 i fördraget kan målet att skapa en harmoniserad rättslig ram för tillhandahållandet av elektroniska signaturer och därmed förknippade tjänster inte i tillräcklig utsträckning uppnås av medlemsstaterna och kan därför bättre uppnås på gemenskapsnivå. Detta direktiv går inte utöver vad som är nödvändigt för att uppnå det målet.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Tillämpningsområde

Syftet med detta direktiv är att underlätta användningen av elektroniska signaturer och bidra till deras rättsliga erkännande. Det fastställer ett rättsligt ramverk för elektroniska signaturer och vissa certifikattjänster för att säkerställa en väl fungerande inre marknad.

Det omfattar inte frågor som avser ingående eller giltighet av avtal eller andra rättsliga förpliktelser om den nationella lagstiftningen eller gemenskapslagstiftningen föreskriver vissa formkrav, och det påverkar inte heller bestämmelser och begränsningar i nationell lagstiftning eller gemenskapslagstiftning som reglerar användningen av dokument.

Artikel

Definitioner

I detta direktiv används följande beteckningar med de betydelser som här anges:

(1) "elektronisk signatur": uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska uppgifter och som används som en metod för autentisering.

(2) "avancerad elektronisk" signatur: en elektronisk signatur som uppfyller följande krav:

(a) Den är knuten uteslutande till undertecknaren.

(b) Undertecknaren kan identifieras genom den.

(c) Den är skapad med medel som undertecknaren kan behålla under uteslutande sin egen kontroll.

(d) Den är kopplad till de uppgifter som den avser på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

(3) "undertecknare" en person som innehar en anordning för skapande av signaturer och som agerar antingen på sina egna vägnar eller på det organs eller den fysiska eller juridiska persons vägnar som han eller hon företräder.

(4) "uppgifter för skapande av signaturer" unika uppgifter, till exempel koder eller privata krypteringsnycklar som undertecknaren använder för att skapa en elektronisk signatur.

(5) "anordning för skapande av signaturer": en konfigurerad programvara eller hårdvara för att använda uppgifterna för skapande av signaturer.

(6) "säker anordning för skapande av signaturer": en anordning för skapande av signaturer vilken uppfyller kraven i bilaga III.

(7) "uppgifter för signaturverifiering": uppgifter, till exempel koder eller öppna kryptografiska nycklar, som används för att verifiera den elektroniska signaturen.

(8) "anordning för signaturverifiering": en konfigurerad programvara eller hårdvara för att använda uppgifterna för signaturverifiering.

(9) "certifikat": ett intyg i elektronisk form som kopplar ihop uppgifterna för signaturverifiering med en person och bekräftar denna persons identitet.

(10) "kvalificerat certifikat": ett certifikat som uppfyller kraven i bilaga I och som utfärdas av en tillhandahållare av certifikattjänster som uppfyller kraven i bilaga II.

(11) "tillhandahållare av certifikattjänster": ett organ eller en fysisk eller juridisk person som utfärdar certifikat eller tillhandahåller andra tjänster som har anknytning till elektroniska signaturer.

(12) "produkt för elektroniska signaturer:" maskinvara eller programvara, eller relevanta komponenter i sådana system, som är avsedda att användas av en tillhandahållare av certifikattjänster för tillhandahållande av tjänster som avser elektroniska signaturer eller som är avsedda att användas för att skapa eller verifiera elektroniska signaturer.

(13) frivillig ackreditering: sådana tillstånd i vilka de rättigheter och skyldigheter fastställs som är specifika för tillhandahållandet av certifikattjänster och som på begäran av den berörda tillhandahållaren av certifikattjänster skall utfärdas av de offentliga eller privata institutioner som ansvarar för utarbetandet och övervakningen av dessa rättigheter och skyldigheter, då tillhandahållaren av certifikattjänster inte får utöva rättigheterna enligt tillståndet förrän denne har erhållit beslutet från institutionen.

Artikel 3

Marknadstillträde

1. Medlemsstaterna får inte göra tillhandahållandet av certifikattjänster beroende av tillstånd i förväg.

2. Utan att det påverkar tillämpningen av bestämmelserna i punkt 1 får medlemsstaterna införa eller behålla frivilliga ackrediteringssystem som syftar till att höja nivån på tillhandahållandet av certifikattjänster. Alla villkor som gäller sådana system skall vara objektiva, tydliga, proportionella och icke-diskriminerande. Medlemsstaterna får inte begränsa antalet ackrediterade tillhandahållare av certifikattjänster av skäl som omfattas av detta direktiv.

3. Medlemsstaterna skall garantera att ett lämpligt system införs vilket gör det möjligt att övervaka de tillhandahållare av certifikattjänster som är etablerade på deras territorium och som utfärdar kvalificerade certifikat till allmänheten.

4. Lämpliga offentliga eller privata organ som medlemsstaterna utser skall avgöra om säkra anordningar för skapande av signaturer överensstämmer med kraven i bilaga III. Kommissionen skall i enlighet med förfarandet i artikel 9 fastställa kriterier för medlemsstaterna för att avgöra om ett organ bör utses.

Ett beslut som fattas av de organ som avses i första stycket om att det föreligger överensstämmelse med kraven i bilaga III skall erkännas av samtliga medlemsstater.

5. Kommissionen får i enlighet med förfarandet i artikel 9 fastställa och offentliggöra referensnummer till allmänt erkända standarder för produkter för elektroniska signaturer i Europeiska gemenskapernas officiella tidning. Medlemsstaterna skall utgå ifrån att produkter för elektroniska signaturer överensstämmer med kraven i punkt f i bilaga II samt i bilaga III om de uppfyller dessa standarder.

6. Medlemsstaterna och kommissionen skall i samarbete främja utveckling och användning av anordningar för signaturverifiering med utgångspunkt i rekommendationerna för säker signaturverifiering i bilaga IV och till gagn för konsumenterna.

7. Medlemsstaterna får förena användningen av elektroniska signaturer i den offentliga sektorn med eventuella ytterligare krav. Sådana krav skall vara objektiva, tydliga, proportionella och icke-diskriminerande och skall endast gälla de särskilda egenskaperna för den berörda tillämpningen. Dessa krav får inte utgöra ett hinder för gränsöverskridande tjänster för medborgaren.

Artikel 4

Principer för den inre marknaden

1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den antar enligt detta direktiv på tillhandahållare av certifikattjänster vilka är etablerade på dess territorium och på de tjänster som dessa tillhandahåller. Medlemsstaterna får inte begränsa tillhandahållandet av certifikattjänster, med ursprung i andra medlemsstater, på de områden som omfattas av detta direktiv.

2. Medlemsstaterna skall säkerställa att produkter för elektroniska signaturer vilka överensstämmer med detta direktiv har fri rörlighet på den inre marknaden.

Artikel 5

Rättslig verkan för elektroniska signaturer

1. Medlemsstaterna skall säkerställa att avancerade elektroniska signaturer som baseras på ett kvalificerat certifikat och som skapas av en säker anordning för skapande av signaturer

(a) uppfyller de rättsliga kraven på en signatur i förhållande till uppgifter i elektronisk form, på samma sätt som en handskriven signatur uppfyller samma krav i förhållande till uppgifter på papper, och

(b) godtas som bevis vid rättsliga förfaranden.

2. Medlemsstaterna skall säkerställa att en elektronisk signatur inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att signaturen

- är i elektronisk form,

- inte är baserad på ett kvalificerat certifikat,

- inte är baserad på ett kvalificerat certifikat utfärdat av en ackrediterad tillhandahållare av certifikattjänster eller

- inte är skapad av en säker anordning för skapande av signaturer.

Artikel 6

Skadeståndsansvar

1. Som ett minimikrav skall medlemsstaterna säkerställa att en tillhandahållare av certifikattjänster genom att utfärda ett certifikat som ett kvalificerat certifikat till allmänheten eller genom att garantera ett certifikat till allmänheten är ansvarig för skada som åsamkats ett organ eller en fysisk eller juridisk person som har rimlig anledning att förlita sig på att

(a) all information i det kvalificerade certifikatet är korrekt vid tidpunkten för utfärdandet och att certifikatet innehåller alla de uppgifter som föreskrivs för ett kvalificerat certifikat,

(b) det garanteras att den undertecknare som anges i det kvalificerade certifikatet vid tidpunkten för utfärdandet av certifikatet var i besittning av de uppgifter för skapande av signaturer som motsvarar de uppgifter för signaturverifiering som anges i certifikatet,

(c) det garanteras att uppgifterna för skapande av signaturer och uppgifterna för signaturverifiering kan användas som komplement till varandra om tillhandahållaren av certifikattjänster framställer båda dessa,

såvida inte tillhandahållaren av certifikattjänster bevisar att han inte har handlat försumligt.

2. Som ett minimikrav skall medlemsstaterna säkerställa att en tillhandahållare av certifikattjänster som har utfärdat ett certifikat som ett kvalificerat certifikat till allmänheten är ansvarig för skada som genom underlåtenhet att registrera återkallande av certifikatet har åsamkats ett organ eller en fysisk eller juridisk person som har rimlig anledning att förlita sig på certifikatet, såvida tillhandahållaren av certifikattjänsten inte bevisar att han inte har handlat försumligt.

3. Medlemsstaterna skall säkerställa att en tillhandahållare av certifikattjänster i ett kvalificerat certifikat får ange begränsningar i ett visst certifikats användningsområde, under förutsättning att begränsningarna är identifierbara för tredje man. Tillhandahållaren av certifikattjänster skall inte vara ansvarig för skador som uppstår på grund av att ett kvalificerat certifikat används i strid med de begränsningar som gäller för detta.

4. Medlemsstaterna skall säkerställa att en tillhandahållare av certifikattjänster i ett kvalificerat certifikat får ange en begränsning för värdet av de transaktioner för vilka certifikatet kan användas, under förutsättning att begränsningen är identifierbar för tredje man. Tillhandahållaren av certifikattjänster skall inte vara ansvarig för skador som beror på att ett kvalificerat certifikat använts på ett sådant sätt att begränsningen för värdet av de transaktioner för vilka certifikatet kan användas har överskridits.

5. Bestämmelserna i punkterna 1-4 skall inte påverka tillämpningen av rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal [17].

[17] EGT L 95, 21.4.1993, s. 29.

Artikel 7

Internationella aspekter

1. Medlemsstaterna skall säkerställa att certifikat som utfärdas som kvalificerade certifikat till allmänheten av tillhandahållare av certifikattjänster som är etablerade i ett tredje land betraktas som rättsligt likvärdiga med certifikat som utfärdas av tillhandahållare av certifikattjänster vilka är etablerade inom gemenskapen, under förutsättning att

(a) tillhandahållaren av certifikattjänster uppfyller kraven i detta direktiv och har ackrediterats enligt ett frivilligt ackrediteringssystem som upprättats i en medlemsstat, eller

(b) en tillhandahållare av certifikattjänster vilken är etablerad inom gemenskapen och uppfyller kraven i detta direktiv garanterar certifikatet, eller

(c) certifikatet eller tillhandahållaren av certifikattjänster är erkänd enligt ett bilateralt eller multilateralt avtal mellan gemenskapen och tredje land eller internationella organisationer.

2. För att underlätta gränsöverskridande certifikattjänster med tredje land och rättsligt erkännande av avancerade elektroniska signaturer med ursprung i tredje land skall kommissionen vid behov lägga fram förslag som syftar till ett effektivt genomförande av standarder och internationella avtal för certifikattjänster. Kommissionen skall särskilt, vid behov, överlämna förslag till rådet om lämpliga mandat för att förhandla om bilaterala och multilaterala avtal med tredje land och internationella organisationer. Rådet skall fatta beslut med kvalificerad majoritet.

3. Om kommissionen får kännedom om att företag i gemenskapen har svårigheter vad gäller marknadstillträde i tredje land, får kommissionen, om det är nödvändigt, förelägga rådet förslag om ett lämpligt förhandlingsmandat i syfte att uppnå jämförbara rättigheter för gemenskapsföretag i ett sådant tredje land. Rådet skall fatta sitt beslut med kvalificerad majoritet.

Åtgärder som vidtas enligt denna punkt skall inte påverka tillämpningen av gemenskapens och medlemsstaternas skyldigheter enligt relevanta internationella avtal.

Artikel 8

Dataskydd

1. Medlemsstaterna skall säkerställa att tillhandahållare av certifikattjänster och nationella organ med ansvar för ackreditering eller övervakning uppfyller kraven i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [18].

[18] EGT L 281, 23.11.1995, s. 31.

2. Medlemsstaterna skall säkerställa att en tillhandahållare av certifikattjänster som utfärdar certifikat till allmänheten endast får hämta personuppgifter direkt från den berörde personen eller med dennes uttryckliga medgivande och endast i den utsträckning som är nödvändig för att utfärda och bibehålla certifikatet. Uppgifterna får inte samlas in eller behandlas för andra ändamål utan uttryckligt medgivande från den berörde personen.

3. Utan att det påverkar den rättsliga verkan som enligt nationell lagstiftning ges pseudonymer får inte medlemsstaterna hindra att tillhandahållare av certifikattjänster anger en pseudonym i stället för undertecknarens namn i certifikatet.

Artikel 9

Kommitté

1. Kommissionen skall biträdas av en kommitté [Kommittén för elektroniska signaturer], nedan kallad "kommittén", som skall bestå av företrädare för medlemsstaterna och ha en företrädare för kommissionen som ordförande.

2. Då det hänvisas till denna punkt skall det förvaltningsförfarande som föreskrivs i artikel 4 i beslut 1999/468/EG tillämpas, i överensstämmelse med artikel 8 i nämnda beslut.

3. Den period som avses i artikel 4.3 i beslut 1999/468/EG skall vara tre månader.

Artikel

Kommitténs uppgifter

Kommittén skall, i enlighet med förfarandet i artikel 9, klargöra kraven i bilagorna till detta direktiv, de kriterier som avses i artikel 3.4 samt de allmänt erkända standarder för produkter för elektroniska signaturer som fastställs och offentliggörs enligt artikel 3.5.

Artikel

Anmälan

1. Medlemsstaterna skall överlämna följande information till kommissionen och de övriga medlemsstaterna:

(a) Information om nationella frivilliga ackrediteringssystem, inbegripet alla ytterligare krav enligt artikel 3.7.

(b) Namn på och adress till de nationella organ som ansvarar för ackreditering och övervakning samt även till de organ som avses i artikel 3.4.

(c) Namn på och adress till samtliga ackrediterade nationella tillhandahållare av certifikattjänster.

2. All information som skall överlämnas enligt punkt 1 och ändringar av denna information skall anmälas av medlemsstaterna så snart som möjligt.

Artikel

Översyn

1. Kommissionen skall göra en översyn av hur direktivet fungerar och överlämna en rapport om detta till Europaparlamentet och rådet senast den .......... [19]

[19] Tre och ett halvt år efter det att detta direktiv har trätt i kraft.

2. I översynen skall bland annat ingå en bedömning av om direktivets tillämpningsområde bör ändras med hänsyn till den tekniska, marknadsmässiga och rättsliga utvecklingen. Rapporten skall särskilt innehålla en bedömning av harmoniseringsfrågor på grundval av de erfarenheter som har vunnits. Rapporten skall vid behov åtföljas av förslag till bestämmelser.

Artikel

Överföring

1. Medlemsstaterna skall sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv senast den .......... [20]. De skall genast underrätta kommissionen om detta.

[20] 18 månader efter det att detta direktiv har trätt i kraft.

När en medlemsstat antar dessa bestämmelser skall de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall varje medlemsstat själv utfärda.

2. Medlemsstaterna skall till kommissionen överlämna texterna till de centrala bestämmelser i nationell lagstiftning som de antar inom det område som omfattas av detta direktiv.

Artikel

Ikraftträdande

Detta direktiv träder i kraft samma dag som det offentliggörs i Europeiska gemenskapernas officiella tidning.

Artikel

Mottagare

Detta direktiv riktar sig till medlemsstaterna.

Utfärdat i Bryssel den [...]

På Europaparlamentets vägnar På rådets vägnar

Ordförande Ordförande [...] [...]

BILAGA I

KRAV PÅ KVALIFICERADE CERTIFIKAT

Kvalificerade certifikat skall innehålla följande:

(a) Uppgift om att certifikatet har utfärdats som ett kvalificerat certifikat.

(b) Identitetsbeteckning för tillhandahållaren av certifikattjänster och den stat i vilken tillhandahållaren är etablerad.

(c) Undertecknarens namn eller pseudonym med uppgift om att det rör sig om en pseudonym.

(d) Möjlighet till ett särskilt attribut för undertecknaren som i förekommande fall skall tas med, beroende på för vilket ändamål certifikatet är avsett.

(e) Uppgifter för signaturverifiering som motsvarar uppgifter för skapande av signaturer som undertecknaren har kontroll över.

(f) Angivande av giltighetstidens början och slut för certifikatet.

(g) Certifikatets identifieringskod.

(h) Den avancerade elektroniska signaturen för den tillhandahållare av certifikattjänster som utfärdar certifikatet.

(i) Eventuella begränsningar av certifikatets användningsområde.

(j) Eventuella begränsningar av värdet på de transaktioner för vilka certifikatet kan användas.

>Hänvisning till>

BILAGA II

KRAV PÅ TILLHANDAHÅLLARE AV CERTIFIKATTJÄNSTER

VILKA UTFÄRDAR KVALIFICERADE CERTIFIKAT

Tillhandahållare av certifikattjänster skall uppfylla följande krav:

(a) Visa att de har den pålitlighet som krävs för att tillhandahålla certifikattjänster.

(b) Garantera driften av ett snabbt och säkert system för registrering och för säkert och omedelbart återkallande.

(c) Säkerställa att exakt datum och klockslag för certifikatets utfärdande eller återkallande kan slås fast.

(d) Med lämpliga medel och i överensstämmelse med nationell lagstiftning kunna kontrollera identiteten och i förekommande fall särskilda attribut hos den person till vilken ett kvalificerat certifikat utfärdas.

(e) Ha personal som besitter de expertkunskaper, den erfarenhet och de kvalifikationer som krävs för de tjänster som tillhandahålls, i synnerhet i fråga om ledningskompetens, expertkunskaper avseende teknik för elektroniska signaturer och vana vid lämpliga säkerhetsrutiner. Personalen skall också använda adekvata administrativa rutiner och ledningsrutiner som uppfyller erkända standarder.

(f) Använda pålitliga system och produkter som är skyddade mot ändringar och garantera teknisk och kryptografisk säkerhet i de förfaranden som stöds av dessa.

(g) Vidta åtgärder mot förfalskning av certifikat och, om tillhandahållaren av certifikattjänster genererar uppgifter för skapande av signaturer, garantera att genereringen av dessa uppgifter sker konfidentiellt.

(h) Förfoga över tillräckliga ekonomiska medel för att bedriva verksamheten i enlighet med kraven i detta direktiv, i synnerhet för att kunna bära risken för skadeståndsskyldighet, till exempel genom en lämplig försäkring.

(i) Lagra all relevant information om ett kvalificerat certifikat under en lämplig tidsperiod, särskilt för att vid rättsliga förfaranden kunna lägga fram bevis om utfärdande av certifikat. Lagringen får göras elektroniskt.

(j) Inte lagra eller kopiera uppgifter för skapande av signaturer om den person som tillhandahållaren av certifikattjänster har erbjudit nyckelhanteringstjänster.

(k) Innan de ingår ett avtalsförhållande med en person som önskar ett certifikat till stöd för sin elektroniska signatur, informera den personen via ett varaktigt kommunikationsmedel om de exakta villkor som gäller för användning av certifikatet, inbegripet eventuella begränsningar av dess användning, förekomsten av ett frivilligt ackrediteringssystem samt förfaranden för klagomål och avgörande av tvister. Sådan information, som får överföras elektroniskt, måste vara skriftlig samt avfattad på ett lättbegripligt språk. Relevanta delar av informationen skall även på begäran göras tillgängliga för tredje man som är beroende av certifikatet.

(l) Använda tillförlitliga system för lagring av certifikat i verifierbar form så att

- enbart behöriga personer kan föra in uppgifter och göra ändringar,

- uppgifters autenticitet kan kontrolleras,

- certifikaten är offentligt tillgängliga för hämtning av uppgifter endast i de fall för vilka certifikatinnehavarens samtycke har inhämtats, samt

- tekniska förändringar som äventyrar dessa säkerhetskrav är uppenbara för den som har hand om systemet.

BILAGA III

KRAV PÅ SÄKRA ANORDNINGAR FÖR SKAPANDE AV SIGNATURER

1. Säkra anordningar för skapande av signaturer skall genom lämpliga tekniker och förfaranden säkerställa att åtminstone

(a) de uppgifter för skapande av signaturer som används för att generera signaturen praktiskt taget enbart kan förekomma en gång, och att sekretessen avseende dessa uppgifter är säkerställd inom rimliga gränser,

(b) de uppgifter för skapande av signaturer som används för att generera signaturen inte med rimlig garanti kan härledas och att signaturen är skyddad mot förfalskning med den teknik som för närvarande finns tillgänglig,

(c) de uppgifter för skapande av signaturer som används för att generera signaturen kan skyddas på ett tillförlitligt sätt av den legitime undertecknaren så att andra inte kan använda dem.

2. Säkra anordningar för skapande av signaturer får inte förändra de uppgifter som skall signeras eller hindra att dessa uppgifter presenteras för undertecknaren före undertecknandet.

BILAGA IV

REKOMMENDATIONER FÖR SÄKER SIGNATURVERIFIERING

Under signaturverifieringsprocessen skall med rimlig säkerhet garanteras

(a) att de uppgifter som används för att utföra signaturverifiering överensstämmer med de uppgifter som visas för den som utför verifieringen,

(b) att signaturen kontrolleras på ett tillförlitligt sätt och att resultatet av verifieringen anges korrekt,

(c) att den som utför verifieringen vid behov på ett tillförlitligt sätt kan fastställa innehållet i de signerade uppgifterna,

(d) att det begärda certifikatets autenticitet och giltighet på ett tillfredsställande sätt kontrollerats när signaturverifieringen utförs,

(e) att resultatet av kontrollen och undertecknarens identitet korrekt anges,

(f) att användning av pseudonym tydligt anges, samt

(g) att alla förändringar av betydelse för säkerheten kan upptäckas.