ISSN 1977-0820

Europeiska unionens

officiella tidning

L 235

European flag  

Svensk utgåva

Lagstiftning

58 årgången
9 september 2015


Innehållsförteckning

 

II   Icke-lagstiftningsakter

Sida

 

 

FÖRORDNINGAR

 

*

Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden ( 1 )

1

 

*

Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden ( 1 )

7

 

 

Kommissionens genomförandeförordning (EU) 2015/1503 av den 8 september 2015 om fastställande av schablonimportvärden för bestämning av ingångspriset för vissa frukter och grönsaker

21

 

 

BESLUT

 

*

Kommissionens genomförandebeslut (EU) 2015/1504 av den 7 september 2015 om beviljande av undantag för vissa medlemsstater vad gäller insamling av statistik enligt Europaparlamentets och rådets förordning (EG) nr 1099/2008 om energistatistik [delgivet med nr C(2015) 6105]  ( 1 )

24

 

*

Kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden ( 1 )

26

 

*

Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden ( 1 )

37

 

 

Rättelser

 

*

Rättelse till rådets direktiv 2000/79/EG av den 27 november 2000 om genomförande av det europeiska avtal om arbetstidens förläggning för flygpersonal inom civilflyget som har ingåtts mellan Association of European Airlines (AEA), Europeiska transportarbetarfederationen (ETF), European Cockpit Association (ECA), European Regions Airline Association (ERA) och International Air Carrier Association (IACA) ( EGT L 302, 1.12.2000 )

42

 


 

(1)   Text av betydelse för EES

SV

De rättsakter vilkas titlar är tryckta med fin stil är sådana rättsakter som har avseende på den löpande handläggningen av jordbrukspolitiska frågor. De har normalt en begränsad giltighetstid.

Beträffande alla övriga rättsakter gäller att titlarna är tryckta med fetstil och föregås av en asterisk.


II Icke-lagstiftningsakter

FÖRORDNINGAR

9.9.2015   

SV

Europeiska unionens officiella tidning

L 235/1


KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2015/1501

av den 8 september 2015

om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 12.8, och

av följande skäl:

(1)

Enligt artikel 12.2 i förordning (EU) nr 910/2014 bör ett interoperabilitetsramverk fastställas i syfte att skapa interoperabilitet mellan de nationella system för elektronisk identifiering som anmälts i enlighet med artikel 9.1 i den förordningen.

(2)

Noder spelar en central roll i förbindelsen mellan de nationella systemen för elektronisk identifiering. En redogörelse för deras betydelse finns i den dokumentation som rör Fonden för ett sammanlänkat Europa som inrättats genom Europaparlamentets och rådets förordning (EU) nr 1316/2013 (2), vari även ”eIDAS-nodens” funktioner och komponenter ingår.

(3)

Om en medlemsstat eller kommissionen tillhandahåller programvara, för att möjliggöra autentisering, till en nod som drivs av en annan medlemsstat får den part som levererar och uppdaterar den programvara som används för autentiseringsmekanismen överenskomma med den part som står värd för programvaran hur driften av autentiseringsmekanismen ska skötas. En sådan överenskommelse bör inte inbegripa oproportionella tekniska krav eller kostnader (t.ex. support, ansvar, värdkostnader eller andra kostnader) för den part som står för värdskapet.

(4)

I den utsträckning som genomförandet av interoperabilitetsramverket motiverar det kan ytterligare tekniska specifikationer med ingående uppgifter om tekniska krav i enlighet med vad som anges i denna förordning utarbetas av kommissionen, i samarbete med medlemsstaterna, i synnerhet under beaktande av yttranden från de samarbetsnätverk som avses i artikel 14 d i kommissionens genomförandebeslut (EU) 2015/296 (3). Sådana specifikationer bör utarbetas som en del av infrastrukturerna för digitala tjänster i förordning (EU) nr 1316/2013, som tillhandahåller medlen för det praktiska förverkligandet av en elektronisk identifieringsmodul.

(5)

De tekniska kraven i denna förordning bör vara tillämpliga i de tekniska specifikationer som kan komma att utarbetas i kraft av artikel 12 i denna förordning.

(6)

När bestämmelserna för interoperabilitetsramverket i denna förordning har fastställts har största möjliga hänsyn tagits till det storskaliga pilotprojektet Stork, inklusive de specifikationer som utarbetats av detta projekt, samt principer och begrepp från den europeiska interoperabilitetsramen för europeiska offentliga tjänster.

(7)

Största möjliga hänsyn har tagits till resultaten av samarbetet mellan medlemsstaterna.

(8)

De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte

I denna förordning fastställs de tekniska och operativa kraven för interoperabilitetsramverket i syfte att säkra interoperabiliteten mellan de system för elektronisk identifiering som medlemsstaterna anmäler till kommissionen.

Kraven innefattar i synnerhet

a)

tekniska minimikrav rörande tillitsnivåer och kartläggning av nationella tillitsnivåer för anmälda medel för elektronisk identifiering som utfärdats inom ramen för anmälda system för elektronisk identifiering enligt artikel 8 i förordning (EU) nr 910/2014 såsom fastställs i artiklarna 3 och 4,

b)

tekniska minimikrav på interoperabilitet enligt artiklarna 5 och 8,

c)

minimuppsättningen av personidentifieringsuppgifter som är unika för en fysisk eller juridisk person enligt artikel 11 och i bilagan,

d)

gemensamma standarder för operativ säkerhet enligt artiklarna 6, 7, 9 och 10,

e)

bestämmelser för tvistlösning enligt artikel 13.

Artikel 2

Definitioner

I denna förordning avses med

1.    nod : en förbindelsepunkt som utgör en del av den interoperativa arkitekturen för elektronisk identifiering och som medverkar vid gränsöverskridande autentisering av personer och som har förmågan att känna igen och behandla eller vidarebefordra överföringar till andra noder genom att bringa den nationella elektroniska identifieringsinfrastrukturen i en medlemsstat i kontakt med nationella elektroniska identifieringsinfrastrukturer i andra medlemsstater,

2.    nodoperatör : den enhet som ansvarar för att se till att noden på korrekt och tillförlitligt sätt utför sina funktioner som förbindelsepunkt.

Artikel 3

Tekniska minimikrav rörande tillitsnivåerna

Tekniska minimikrav rörande tillitsnivåerna ska fastställas i kommissionens genomförandeförordning (EU) 2015/1502 (4).

Artikel 4

Kartläggning av nationella tillitsnivåer

Kartläggningen av nationella tillitsnivåer för anmälda system för elektronisk identifiering ska följa de krav som fastställs i genomförandeförordning (EU) 2015/1502. Resultaten av kartläggningen ska anmälas till kommissionen med hjälp av den mall som fastställs i kommissionens genomförandebeslut (EU) 2015/1505 (5).

Artikel 5

Noder

1.   En nod i en medlemsstat ska ha förmåga att koppla upp sig med noder i andra medlemsstater.

2.   Noderna ska med tekniska medel ha förmågan att särskilja mellan offentliga organ och andra förlitande parter.

3.   Vid en medlemsstats genomförande av de tekniska kraven i denna förordning får andra medlemsstater inte åläggas oproportionella tekniska krav och kostnader för att kunna samverka med det system som genomförs i den första medlemsstaten.

Artikel 6

Skydd av personuppgifter samt datasekretess

1.   Skyddet av personuppgifter samt datasekretessen vad avser de uppgifter som utbyts och vidmakthållandet av dataintegriteten mellan noderna ska säkerställas genom användning av bästa tillgängliga tekniska lösningar och skyddspraxis.

2.   Noderna får inte lagra några personuppgifter, utom för det ändamål som anges i artikel 9.3.

Artikel 7

Dataintegritet och uppgifternas äkthet vid kommunikation

Vid kommunikationen mellan noderna ska dataintegriteten och uppgifternas äkthet säkras så att varje begäran och varje svar är äkta och inte har manipulerats. För detta ändamål ska noderna använda lösningar som med goda resultat har utnyttjats för gränsöverskridande operativt bruk.

Artikel 8

Meddelandeformat för kommunikationen

Noderna ska som syntax använda gemensamma meddelandeformat baserade på standarder som redan har utnyttjats mer än en gång mellan medlemsstater och visat sig fungera i en operativ miljö. Syntaxen ska möjliggöra

a)

korrekt behandling av minimuppsättningen av personidentifieringsuppgifter som är unika för en fysisk eller juridisk person,

b)

korrekt behandling av tillitsnivån för medlet för elektronisk identifiering,

c)

åtskillnad mellan offentliga organ och andra förlitande parter,

d)

flexibilitet för att tillgodose behov av ytterligare identifieringsattribut.

Artikel 9

Hantering av säkerhetsinformation och metadata

1.   Nodoperatören ska kommunicera nodhanteringens metadata på ett standardiserat maskinläsbart sätt som är säkert och pålitligt.

2.   Åtminstone säkerhetsrelevanta parametrar ska hämtas automatiskt.

3.   Nodoperatören ska lagra uppgifter så att det, vid en incident, går att rekonstruera ordningsföljden i utbytet av meddelanden för att fastställa platsen för incidenten och dess art. Uppgifterna ska lagras under en period som överensstämmer med nationella krav och ska, allra minst, bestå av följande beståndsdelar:

a)

Identifiering av noden.

b)

Identifiering av meddelandet.

c)

Datum och tidpunkt för meddelandet.

Artikel 10

Informationssäkerhet och säkerhetsstandarder

1.   Nodoperatörer som tillhandahåller autentisering ska visa att noden, vad gäller dess deltagande i interoperabilitetsramverket, uppfyller kraven för standarden ISO/IEC 27001 genom certifiering, eller genom en likvärdig bedömningsmetod, eller genom att följa nationell lagstiftning.

2.   Nodoperatörer ska utan onödiga dröjsmål genomföra säkerhetskritiska uppdateringar.

Artikel 11

Personidentifieringsuppgifter

1.   En minimuppsättning av personidentifieringsuppgifter som är unika för en fysisk eller juridisk person ska uppfylla kraven i bilagan vid användning i ett gränsöverskridande sammanhang.

2.   En minimuppsättning uppgifter om en fysisk person som företräder en juridisk person ska innehålla den kombination av attribut som förtecknas i bilagan med avseende på fysiska personer och juridiska personer vid användning i gränsöverskridande sammanhang.

3.   Uppgifter ska överföras med originaltecken och, om så är tillämpligt, även transkriberade med latinska tecken.

Artikel 12

Tekniska specifikationer

1.   Om det är motiverat av genomförandet av interoperabilitetsramverket får det samarbetsnätverk som inrättats genom genomförandebeslut (EU) 2015/296 i kraft av artikel 14 d i detta beslut yttra sig om behovet av att utarbeta tekniska specifikationer. Sådana tekniska specifikationer ska ge ytterligare information om tekniska krav som fastställs i denna förordning.

2.   I kraft av yttranden som avses i punkt 1 ska kommissionen i samarbete med medlemsstaterna utarbeta de tekniska specifikationerna som en del av de infrastrukturerna för digitala tjänster i förordning (EU) nr 1316/2013.

3.   Samarbetsnätverket ska i enlighet med artikel 14 d i genomförandebeslut (EU) 2015/296 yttra sig och lämna en utvärdering av huruvida och i vilken utsträckning de tekniska specifikationer som utarbetas enligt punkt 2 motsvarar de behov som angavs i yttranden som avses i punkt 1 eller de krav som fastställs i denna förordning. Det kan rekommendera medlemsstaterna att ta hänsyn till de tekniska specifikationerna vid genomförandet av interoperabilitetsramverket.

4.   Kommissionen ska tillhandahålla ett referensgenomförande som en exempeltolkning av de tekniska specifikationerna. Medlemsstaterna kan tillämpa detta referensgenomförande eller använda det som ett exempel när de testar andra genomföranden av de tekniska specifikationerna.

Artikel 13

Tvistlösning

1.   När så är möjligt ska eventuella tvister gällande interoperabilitetsramverket lösas genom förhandlingar mellan de berörda medlemsstaterna.

2.   Om någon lösning inte nås i enlighet med punkt 1 ska det samarbetsnätverk som inrättats i enlighet med artikel 12 i kommissionens genomförandebeslut (EU) 2015/296 ha behörighet vad avser tvisten i enlighet med vad som anges i dess arbetsordning.

Artikel 14

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 8 september 2015.

På kommissionens vägnar

Jedan-Claude JUNCKER

Ordförande


(1)  EUT L 257, 28.8.2014, s. 73.

(2)  Europaparlamentets och rådets förordning (EU) nr 1316/2013 av den 11 december 2013 om inrättande av Fonden för ett sammanlänkat Europa, om ändring av förordning (EU) nr 913/2010 och om upphävande av förordningarna (EG) nr 680/2007 och (EG) nr 67/2010 (EUT L 348, 20.12.2013, s. 129).

(3)  Kommissionens genomförandebeslut (EU) 2015/296 av den 24 februari 2015 om inrättande av förfaranden för samarbete mellan medlemsstaterna om elektronisk identifiering i enlighet med artikel 12.7 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (EUT L 53, 25.2.2015, s. 14).

(4)  Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (se sidan 7 i detta nummer av EUT).

(5)  Kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (se sidan 26 i detta nummer av EUT).


BILAGA

Krav enligt artikel 11 på minimiuppsättning av personidentifieringsuppgifter som är unika för en fysisk eller en juridisk person

1.   Minimiuppsättning av uppgifter för fysisk person

En minimiuppsättning av uppgifter för en fysisk person ska innehålla följande obligatoriska attribut:

a)

nuvarande efternamn,

b)

nuvarande förnamn,

c)

födelsedatum,

d)

en unik identitetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gränsöverskridande identifiering och som är mest beständig i tid.

En minimiuppsättning för en fysisk person kan innehålla ett eller flera av följande ytterligare attribut:

a)

förnamn och efternamn vid födseln,

b)

födelseort,

c)

nuvarande adress,

d)

kön.

2.   Minimiuppsättning av uppgifter för juridisk person

En minimiuppsättning av uppgifter för en juridisk person ska innehålla följande obligatoriska attribut:

a)

nuvarande juridiska namn,

b)

en unik identitetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gränsöverskridande identifiering och som är mest beständig i tid.

En minimiuppsättning av uppgifter för en juridisk person kan innehålla ett eller flera av följande ytterligare attribut:

a)

nuvarande adress,

b)

momsregistreringsnummer,

c)

skatteregistreringsnummer,

d)

den identifikator som avses i artikel 3.1 i Europaparlamentets och rådets direktiv 2009/101/EG (1),

e)

den identifieringskod för juridiska personer som avses i kommissionens genomförandeförordning (EU) nr 1247/2012 (2),

f)

det registrerings- och identitetsnummer för ekonomiska aktörer som avses i kommissionens genomförandeförordning (EU) nr 1352/2013 (3),

g)

punktskattenummer som avses i artikel 2.12 i rådets förordning (EU) nr 389/2012 (4).


(1)  Europaparlamentets och rådets direktiv 2009/101/EG av den 16 september 2009 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 48 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen (EUT L 258, 1.10.2009, s. 11).

(2)  Kommissionens genomförandeförordning (EU) nr 1247/2012 av den 19 december 2012 om fastställande av tekniska genomförandestandarder för form och frekvens för rapportering om handel till transaktionsregister enligt Europaparlamentets och rådets förordning (EU) nr 648/2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 352, 21.12.2012, s. 20).

(3)  Kommissionens genomförandeförordning (EU) nr 1352/2013 av den 4 december 2013 om fastställande av de formulär som avses i Europaparlamentets och rådets förordning (EU) nr 608/2013 om tullens säkerställande av skyddet för immateriella rättigheter (EUT L 341, 18.12.2013, s. 10).

(4)  Rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004 (EUT L 121, 8.5.2012, s. 1).


9.9.2015   

SV

Europeiska unionens officiella tidning

L 235/7


KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2015/1502

av den 8 september 2015

om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 8.3, och

av följande skäl:

(1)

Enligt artikel 8 i förordning (EU) nr 910/2014 behöver ett system för elektronisk identifiering som anmälts i enlighet med artikel 9.1 specificera tillitsnivåerna låg, väsentlig och/eller hög för medel för elektronisk identifiering som har utfärdats inom det systemet.

(2)

Det är väsentligt att fastställa tekniska minimispecifikationer, standarder och förfaranden så att en gemensam förståelse kan uppnås av tillitsnivåernas detaljuppgifter och att interoperabilitet säkras vid kartläggningen av de nationella tillitsnivåerna för anmälda system för elektronisk identifiering i förhållande till tillitsnivåerna enligt artikel 8, såsom föreskrivs genom artikel 12.4 b i förordning (EU) nr 910/2014.

(3)

Den internationella standarden ISO/IEC 29115 har beaktats för specifikationerna och förfarandena i denna genomförandeakt såsom varande den främsta internationella standard som är tillgänglig i fråga om tillitsnivåer för medel för elektronisk identifiering. Innehållet i förordning (EU) nr 910/2014 skiljer sig dock från internationell standard, i synnerhet i fråga om krav på styrkande och kontroll av identitet, liksom vad gäller det sätt på vilket hänsyn tas till skillnaderna mellan medlemsstaternas identitetsbestämmelser och befintliga verktyg i EU för samma syfte. Även om bilagan bygger på denna internationella standard bör den därför inte hänvisa till något specifikt innehåll i ISO/IEC 29115.

(4)

Denna förordning har utarbetats på ett resultatbaserat sätt såsom varande mest lämpliga metod, vilket också avspeglas i de definitioner som använts för att specificera termer och begrepp. De tar hänsyn till syftet med förordning (EU) nr 910/2014 i fråga om tillitsnivåerna för medel för elektronisk identifiering. Största möjliga hänsyn bör därför tas till det storskaliga pilotprojektet Stork, inklusive de specifikationer som utarbetats av detta projekt, samt definitioner och begrepp i ISO/IEC 29115 när specifikationer och förfaranden i denna genomförandeakt ska fastställas.

(5)

Tillförlitliga källor kan ta många former, exempelvis registreringskontor, handlingar eller organ, beroende på det sammanhang där en aspekt av identitetsbevis behöver verifieras. De tillförlitliga källorna kan skilja sig åt i olika medlemsstater, också om sammanhangen liknar varandra.

(6)

Krav på styrkande och kontroll av identitet bör beakta olika system och praxis och samtidigt säkerställa en tillräckligt hög tillitsnivå för att skapa nödvändigt förtroende. Ett godtagande av förfaranden som använts tidigare för andra syften än att utfärda medel för elektronisk identifiering bör därför villkoras med att bekräftelse erhålls om att dessa förfaranden uppfyller kraven för motsvarande tillitsnivå.

(7)

Vissa autentiseringsfaktorer, som exempelvis delade hemligheter, fysiska anordningar och fysiska attribut, används vanligtvis. Användningen av ett stort antal autentiseringsfaktorer, särskilt från olika faktorkategorier, bör dock uppmuntras för att höja säkerheten i autentiseringsprocessen.

(8)

Denna förordning bör inte påverka juridiska personers representationsrättigheter. Bilagan bör dock innehålla föreskrifter om krav på bindningen mellan fysiska och juridiska personers medel för elektronisk identifiering.

(9)

Betydelsen av informationssäkerhet och system för tjänstehantering bör uppmärksammas, vilket även gäller betydelsen av att använda erkända metoder och tillämpa principerna i standarder som exempelvis ISO/IEC 27000- och ISO/IEC 20000-serierna.

(10)

Bästa praxis i fråga om tillitsnivåer i medlemsstaterna bör också beaktas.

(11)

It-säkerhetscertifiering som baseras på internationella standarder är ett viktigt verktyg för verifiering av hur väl en produkts säkerhet motsvarar kraven i denna genomförandeakt.

(12)

Den kommitté som avses i artikel 48 i förordning (EU) nr 910/2014 har inte avgivit något yttrande inom den tidsfrist som beslutades av dess ordförande.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

1.   Tillitsnivåerna låg, väsentlig och hög för medel för elektronisk identifiering utfärdade inom ett anmält system för elektronisk identifiering ska fastställas med hänvisning till specifikationerna och förfarandena i bilagan.

2.   Specifikationerna och förfarandena i bilagan ska användas för att specificera tillitsnivå för medel för elektronisk identifiering som utfärdats inom ett system för elektronisk identifiering genom att tillförlitlighet och kvalitet fastställs för följande beståndsdelar:

a)

Inskrivning, i enlighet med vad som fastställs i avsnitt 2.1 i bilagan till denna förordning i kraft av artikel 8.3 a i förordning (EU) nr 910/2014.

b)

Hantering av medel för elektronisk identifiering, i enlighet med avsnitt 2.2 i bilagan till denna förordning i kraft av artikel 8.3 b och f i förordning (EU) nr 910/2014.

c)

Autentisering i enlighet med avsnitt 2.3 i bilagan till denna förordning i kraft av artikel 8.3 c i förordning (EU) nr 910/2014.

d)

Hantering och organisering, i enlighet med avsnitt 2.4 i bilagan till denna förordning i kraft av artikel 8.3 d och e i förordning (EU) nr 910/2014.

3.   När medel för elektronisk identifiering, som utfärdats inom ett anmält system för elektronisk identifiering, uppfyller ett krav för en högre tillitsnivå ska det antas uppfylla likvärdiga krav på en lägre tillitsnivå.

4.   Såvida inte något annat anges i relevant del av bilagan ska alla beståndsdelar i bilagan angående en viss tillitsnivå, gällande medel för elektronisk identifiering som utfärdats inom ett anmält system för elektroniskt identifiering, uppfyllas för att motsvara den hävdade tillitsnivån.

Artikel 2

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 8 september 2015.

På kommissionens vägnar

Jean-Claude JUNCKER

Ordförande


(1)  EUT L 257, 28.8.2014, s. 73.


BILAGA

Tekniska specifikationer och förfaranden för tillitsnivåerna låg, väsentlig och hög avseende de medel för elektronisk identifiering som utfärdats inom ramen för ett anmält system för elektronisk identifiering

1.   Tillämpliga definitioner

I denna bilaga gäller följande definitioner:

1.    tillförlitlig källa : en källa oavsett form som är tillförlitlig när det gäller att tillhandahålla korrekta uppgifter, information och/eller bevis som kan användas för att styrka en identitet.

2.    Autentiseringsfaktor : en faktor som bekräftas vara bunden till en person och som tillhör någon av följande kategorier:

a)    innehavsbaserad autentiseringsfaktor : en autentiseringsfaktor som personen måste kunna visa att den innehar.

b)    kunskapsbaserad autentiseringsfaktor : en autentiseringsfaktor som personen måste kunna visa att den har kunskap om.

c)    egenskapsbaserad autentiseringsfaktor : en autentiseringsfaktor som utgår från en kroppslig egenskap hos en fysisk person, som denne måste kunna visa att den har.

3.    dynamisk autentisering : en elektronisk process som använder kryptering eller andra metoder för att på begäran skapa ett elektroniskt bevis för att en person har kontroll över eller är i besittning av identifieringsinformationen, och som ändras vid varje autentisering mellan personen och det system som kontrollerar personens identitet.

4.    ledningssystem för informationssäkerhet : en uppsättning processer och förfaranden avsedda att hantera godtagbara risknivåer förknippade med informationssäkerhet.

2.   Tekniska specifikationer och förfaranden

De tekniska specifikationer och förfaranden som beskrivs i denna bilaga ska användas för att fastställa hur de krav och kriterier som avses i artikel 8 i förordning (EU) nr 910/2014 ska tillämpas för medel för elektronisk identifiering som utfärdats inom ramen för ett system för elektronisk identifiering.

2.1   Inskrivning

2.1.1   Ansökan och registrering

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Säkerställa att den sökande är medveten om villkoren förenade med användningen av medlet för elektronisk identifiering.

2.

Säkerställa att den sökande är medveten om rekommenderade säkerhetsåtgärder kopplade till medlet för elektronisk identifiering.

3.

Samla in de relevanta identitetsuppgifter som krävs för styrkande och kontroll av identitet.

Väsentlig

Samma som nivån låg.

Hög

Samma som nivån låg.

2.1.2   Styrkande och kontroll av identitet (fysisk person)

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Personen kan antas inneha bevis som erkänns i den medlemsstat där ansökan om medlet för elektronisk identitet görs och som avser den påstådda identiteten.

2.

Beviset kan antas vara äkta eller existera enligt en tillförlitlig källa, och beviset förefaller vara giltigt.

3.

Enligt en officiell källa existerar den påstådda identiteten, och det kan antas att den person som åberopar denna identitet är en och samma person.

Väsentlig

Nivå låg, samt ett av de alternativ som anges i punkterna 1–4 måste vara uppfyllt:

1.

Kontroll har skett av att personen innehar ett bevis som erkänns i den medlemsstat där ansökan om medlet för elektronisk identitet görs och som avser den påstådda identiteten,

och

beviset kontrolleras för att fastställa att det är äkta, eller enligt en tillförlitlig källa existerar det och avser en verklig person,

och

åtgärder har vidtagits för att minimera risken att personens identitet inte är den påstådda identiteten, varvid det tas hänsyn till exempelvis risken för att beviset har förlorats, stulits, upphävts, återkallats eller löpt ut,

eller

2.

en identitetshandling uppvisas under ett registreringsförfarande i den medlemsstat där handlingen utfärdades, och handlingen tycks avse den person som uppvisar den,

och

åtgärder har vidtagits för att minimera risken att personens identitet inte är den påstådda identiteten, varvid det tas hänsyn till exempelvis risken för att handlingen har förlorats, stulits, upphävts, återkallats eller löpt ut,

eller

3.

om förfaranden som tidigare använts av ett offentligt eller privat företag i samma medlemsstat för andra ändamål än utfärdandet av medel för elektronisk identifiering ger en tillit som är likvärdig de förfaranden som anges i avsnitt 2.1.2 för tillitsnivån väsentlig, behöver den enhet som ansvarar för registreringen inte upprepa de tidigare förfarandena, förutsatt att en sådan likvärdig tillit bekräftas av ett sådant organ för bedömning av överensstämmelse som anges i artikel 2.13 i Europaparlamentets och rådets förordning (EG) nr 765/2008 (1) eller av ett likvärdigt organ,

eller

4.

om medel för elektronisk identifiering utfärdas på grundval av ett giltigt anmält medel för elektronisk identifiering med tillitsnivån väsentlig eller hög, och riskerna för ändring i personidentifieringsuppgifterna beaktas, krävs det inte att förfarandena för styrkande och kontroll av identitet upprepas. Om medlet för elektronisk identifiering som utgör utgångspunkt inte har anmälts, ska tillitsnivån väsentlig eller hög bekräftas av det organ för bedömning av överensstämmelse som avses i artikel 2.13 i förordning (EG) nr 765/2008 eller av ett likvärdigt organ.

Hög

Kraven i punkt 1 eller 2 ska uppfyllas:

1.

Nivå väsentlig, samt ett av de alternativ som anges i leden a–c måste vara uppfyllt:

a)

När en person har kontrollerats och befunnits inneha fotografiskt eller biometriskt identifieringsbevis som erkänns i den medlemsstat där ansökan om medlet för elektronisk identitet görs, och den bevisningen avser den påstådda identiteten, kontrolleras beviset för att fastställa om det är giltigt enligt en tillförlitlig källa.

och

Sökanden har identifierats som den påstådda identiteten genom jämförelse av en eller flera fysiska egenskaper hos personen med en tillförlitlig källa,

eller

b)

Om förfaranden som tidigare använts av ett offentligt eller privat företag i samma medlemsstat för andra ändamål än utfärdandet av medel för elektronisk identifiering ger en tillit som är likvärdig med de förfaranden som anges i avsnitt 2.1.2 för tillitsnivån hög, behöver den enhet som ansvarar för registreringen inte upprepa de tidigare förfarandena, förutsatt att en sådan likvärdig tillit bekräftas av ett sådant organ för bedömning av överensstämmelse som anges i artikel 2.13 i Europaparlamentets och rådets förordning (EG) nr 765/2008 eller av ett likvärdigt organ,

och

åtgärder vidtas för att styrka att resultaten från tidigare förfaranden fortfarande är giltiga,

eller

c)

Om medel för elektronisk identifiering utfärdas på grundval av ett giltigt anmält medel för elektronisk identifiering med tillitsnivån hög, och riskerna för ändring i personidentifieringsuppgifterna beaktas, krävs det inte att förfarandena för styrkande och kontroll av identitet upprepas. Om medlet för elektronisk identifiering som utgör utgångspunkt inte har anmälts, ska tillitsnivån hög bekräftas av det organ för bedömning av överensstämmelse som avses i artikel 2.13 i förordning (EG) nr 765/2008 eller av ett likvärdigt organ,

och

åtgärder vidtas för att styrka att resultaten av detta tidigare förfarande för utfärdande av ett anmält medel för elektronisk identifiering fortfarande är giltiga,

ELLER

2.

om den sökande inte lägger fram något erkänt fotografiskt eller biometriskt identifieringsbevis, ska samma förfaranden som används på nationell nivå i medlemsstaten av den enhet som ansvarar för registreringen för att erhålla sådant erkänt fotografiskt eller biometriskt identifieringsbevis tillämpas.

2.1.3   Styrkande och kontroll av identitet (juridisk person)

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Den juridiska personens påstådda identitet styrks på grundval av bevis som erkänns i den medlemsstat där ansökan om medlet för elektronisk identitet görs.

2.

Beviset förefaller vara giltigt och kan antas vara äkta, eller existera enligt en tillförlitlig källa, om införandet av en juridisk person i den tillförlitliga källan är frivilligt och regleras genom en överenskommelse mellan den juridiska personen och den tillförlitliga källan.

3.

Den juridiska personen är enligt en tillförlitlig källa inte i en ställning som skulle hindra den från att handla som den juridiska personen.

Väsentlig

Nivå låg, samt ett av alternativen i punkterna 1–3 måste vara uppfyllt:

1.

Den juridiska personens påstådda identitet styrks på grundval av bevis som erkänns i den medlemsstat där ansökan om medlet för elektronisk identitet görs, inklusive den juridiska personens namn, juridiska form, och (om så är tillämpligt) registeringsnummer,

och

beviset kontrolleras för att avgöra om det är äkta, eller existerar enligt en tillförlitlig källa, om införandet av den juridiska personen i den tillförlitliga källan krävs för att den juridiska personen ska få bedriva verksamhet inom sin sektor,

och

åtgärder har vidtagits för att minimera risken att den juridiska personens identitet inte är den påstådda identiteten, varvid det tas hänsyn till exempelvis risken för att handlingar har förlorats, stulits, upphävts, återkallats eller löpt ut,

eller

2.

Om förfaranden som tidigare använts av ett offentligt eller privat företag i samma medlemsstat för andra ändamål än utfärdande av medel för elektronisk identifiering ger en tillit som är likvärdig med de förfaranden som anges i avsnitt 2.1.3 för tillitsnivån väsentlig, behöver den enhet som ansvarar för registreringen inte upprepa de tidigare förfarandena, förutsatt att en sådan likvärdig tillit bekräftas av ett sådant organ för bedömning av överensstämmelse som anges i artikel 2.13 i förordning (EG) nr 765/2008 eller av ett likvärdigt organ,

eller

3.

Om medel för elektronisk identifiering utfärdas på grundval av ett giltigt anmält medel för elektronisk identifiering med tillitsnivån väsentlig eller hög, krävs det inte att förfarandena för styrkande och kontroll av identitet upprepas. Om medlet för elektronisk identifiering som utgör utgångspunkt inte har anmälts, ska tillitsnivån väsentlig eller hög bekräftas av det organ för bedömning av överensstämmelse som avses i artikel 2.13 i förordning (EG) nr 765/2008 eller av ett likvärdigt organ.

Hög

Nivå låg, samt ett av de alternativ som anges i punkterna 1–3 måste vara uppfyllt:

1.

Den juridiska personens påstådda identitet styrks på grundval av bevis som erkänns i den medlemsstat där ansökan om medlet för elektronisk identitet görs, och innefattar den juridiska personens namn, juridiska form, och åtminstone en unik identifierare som avser den juridiska personen och som används i nationella sammanhang,

och

beviset kontrolleras för att fastställa att det är äkta enligt en tillförlitlig källa,

eller

2.

om de förfaranden som tidigare använts av ett offentligt eller privat företag i samma medlemsstat för andra ändamål än utfärdande av medel för elektronisk identifiering ger en tillit som är likvärdig de förfaranden som anges i avsnitt 2.1.3 för tillitsnivån hög, behöver den enhet som ansvarar för registreringen inte upprepa de tidigare förfarandena, förutsatt att en sådan likvärdig tillit bekräftas av ett sådant organ för bedömning av överensstämmelse som anges i artikel 2.13 i förordning (EG) nr 765/2008 eller av ett likvärdigt organ,

och

åtgärder vidtas för att styrka att resultaten från dessa tidigare förfaranden fortfarande är giltiga,

eller

3.

om medel för elektronisk identifiering utfärdas på grundval av ett giltigt anmält medel för elektronisk identifiering med tillitsnivån hög, krävs det inte att förfarandena för styrkande och kontroll av identitet upprepas. Om medlet för elektronisk identifiering som utgångspunkt inte har anmälts, ska tillitsnivån hög bekräftas av det organ för bedömning av överensstämmelse som avses i artikel 2.13 i förordning (EG) nr 765/2008 eller av ett likvärdigt organ,

och

åtgärder vidtas för att styrka att resultaten av detta tidigare förfarande för utfärdande av ett anmält medel för elektronisk identifiering fortfarande är giltiga.

2.1.4   Bindning mellan fysiska och juridiska personers medel för elektronisk identifiering

För en bindning mellan en fysisk persons medel för elektronisk identifiering och en juridisk persons medel för elektronisk identifiering (nedan kallad bindning) gäller följande villkor:

1.

En bindning ska vara möjlig att upphäva och/eller återkalla. En bindnings livscykel (t.ex. aktivering, upphävande, förnyelse, återkallelse) ska förvaltas enligt nationellt erkända förfaranden.

2.

Den fysiska person vars medel för elektronisk identifiering är bundet till den juridiska personens medel för elektronisk identifiering får delegera nyttjandet av bindningen till en annan fysisk person på grundval av nationellt erkända förfaranden. Emellertid förblir den delegerande fysiska personen ansvarig.

3.

Bindningen ska göras på följande sätt:

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Styrkandet av den fysiska persons identitet som handlar på den juridiska personens vägnar har enligt kontroll utförts på nivån låg eller högre.

2.

Bindningen har upprättats på grundval av nationellt erkända förfaranden.

3.

Den fysiska personen är enligt en tillförlitlig källa inte i en ställning som skulle hindra den från att handla på den juridiska personens vägnar.

Väsentlig

Nivå låg punkt 3, samt

1.

styrkandet av den fysiska persons identitet som handlar på den juridiska personens vägnar har enligt kontroll utförts på nivån väsentlig eller hög,

2.

bindningen har upprättats på grundval av nationellt erkända förfaranden, vilket resulterat i att bindningen registrerats i en tillförlitlig källa,

3.

bindningen har kontrollerats på grundval av uppgifter från en tillförlitlig källa.

Hög

Nivå låg punkt 3 och nivå väsentlig punkt 2, samt

1.

styrkandet av den fysiska persons identitet som handlar på den juridiska personens vägnar har enligt kontroll utförts på nivån hög,

2.

bindningen har kontrollerats på grundval av en unik identifierare som avser den juridiska personen och som används i nationella sammanhang och på grundval av uppgifter från en tillförlitlig källa som är unik för den fysiska personen.

2.2   Hantering av medel för elektronisk identifiering

2.2.1   Medel för elektronisk identifiering: egenskaper och utformning

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Medlet för elektronisk identifiering använder minst en autentiseringsfaktor.

2.

Medlet för elektronisk identifiering är utformat så att utfärdaren vidtar rimliga åtgärder för att kontrollera att det endast används under ägarens kontroll eller innehav.

Väsentlig

1.

Medlet för elektronisk identifiering använder minst två autentiseringsfaktorer från olika kategorier.

2.

Medlet för elektronisk identifiering är utformat så att det kan antas att det endast används under ägarens kontroll eller innehav.

Hög

Nivå väsentlig, samt

1.

medlet för elektronisk identifiering skyddar mot kopiering och manipulering samt mot angripare med hög angreppskapacitet,

2.

medlet för elektronisk identifiering är utformat så att ägaren på tillförlitligt sätt kan skyddas mot användning av andra.

2.2.2   Utfärdande, leverans och aktivering

Tillitsnivå

Erforderliga beståndsdelar

Låg

Efter utfärdandet levereras medlet för elektronisk identifiering via en mekanism genom vilken medlet kan antas nå endast den avsedda personen.

Väsentlig

Efter utfärdandet levereras medlet för elektronisk identifiering via en mekanism genom vilken det kan antas att medlet levereras endast till ägaren.

Hög

Aktiveringsprocessen kontrollerar att medlet för elektronisk identifiering endast levererades till ägaren.

2.2.3   Upphävande, återkallelse och återaktivering

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Det är möjligt att avbryta och/eller återkalla ett medel för elektronisk identifiering i god tid och på ett verksamt sätt.

2.

Åtgärder ska föreligga för att förhindra att upphävande, återkallelse och/eller reaktivering sker på otillåtet sätt.

3.

Återaktivering ska ske endast om samma krav angående tilliten som fastställts före upphävandet eller återkallelsen fortsätter att uppfyllas.

Väsentlig

Samma som nivån låg.

Hög

Samma som nivån låg.

2.2.4   Förnyelse och ersättning

Tillitsnivå

Erforderliga beståndsdelar

Låg

Med beaktande av riskerna för ändring i personidentifieringsuppgifterna måste förnyelse eller ersättning uppfylla samma tillitskrav som det ursprungliga styrkandet och kontrollen av identiteten eller grundas på ett giltigt medel för elektronisk identifiering med samma eller högre tillitsnivå.

Väsentlig

Samma som nivån låg.

Hög

Nivå låg, samt

om förnyelse eller ersättning grundas på ett giltigt medel för elektronisk identifiering, kontrolleras identitetsuppgifterna mot en tillförlitlig källa.

2.3   Autentisering

Detta avsnitt handlar om hot vid användning av autentiseringsmekanismen och förtecknar de krav som gäller för varje tillitsnivå. I detta avsnitt ska kontroller antas stå i proportion till riskerna på en viss nivå.

2.3.1   Autentiseringsmekanism

Av följande tabell framgår kraven per tillitsnivå för den autentiseringsmekanism där den fysiska eller juridiska personen använder medlet för elektronisk identifiering för att bekräfta sin identitet för en förlitande part.

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Innan personidentifieringsuppgifter lämnas ut sker en tillförlitlig kontroll av medlet för elektronisk identifiering och dess giltighet.

2.

Om personidentifieringsuppgifter lagras som en del av autentiseringsmekanismen är dessa uppgifter säkrade för att skydda mot förlust och från att den äventyras, inklusive offline-analys.

3.

Autentiseringsmekanismen genomför säkerhetskontroller för att verifiera medlet för elektronisk identifiering, varför det är högst osannolikt att exempelvis gissningar, tjuvlyssning, omspelning eller manipulation av kommunikation som görs av en angripare med förhöjd/grundläggande angreppspotential kan underminera autentiseringsmekanismerna.

Väsentlig

Nivå låg, samt

1.

innan personidentifieringsuppgifter lämnas ut sker en tillförlitlig kontroll av medlet för elektronisk identifiering och dess giltighet med hjälp av en dynamisk autentisering,

2.

autentiseringsmekanismen genomför säkerhetskontroller för att verifiera medlet för elektronisk identifiering, varför det är högst osannolikt att exempelvis gissningar, tjuvlyssning, omspelning eller manipulation av kommunikation som görs av en angripare med måttlig angreppspotential kan underminera autentiseringsmekanismerna.

Hög

Nivå väsentlig, samt

autentiseringsmekanismen genomför säkerhetskontroller för att verifiera medlet för elektronisk identifiering, varför det är högst osannolikt att exempelvis gissningar, tjuvlyssning, omspelning eller manipulation av kommunikation som görs av en angripare med stor angreppspotential kan underminera autentiseringsmekanismerna.

2.4   Hantering och organisation

Alla deltagare som tillhandahåller en tjänst för elektronisk identifiering i ett gränsöverskridande sammanhang (nedan kallad en tillhandahållare av tjänster) ska i dokumenterad form ha praxis, policyer och strategier för ledning av informationssäkerhet vad avser risker samt andra erkända kontroller som ger styrningsorganen för system för elektronisk identifiering i respektive medlemsstat garantier att effektiva förfaranden föreligger. Alla krav/beståndsdelar i hela avsnitt 2.4 ska antas stå i proportion till riskerna på en viss nivå.

2.4.1   Allmänna bestämmelser

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Tillhandahållare av tjänster som levererar en operativ tjänst som omfattas av denna förordning är en offentlig myndighet eller rättslig enhet som erkänns som sådan i en medlemsstats nationella lagstiftning, med etablerad organisation och till fullo operativ i alla delar som är relevanta för tillhandahållandet av tjänsterna.

2.

Tillhandahållarna av tjänster uppfyller alla rättsliga krav som åligger dem i samband med drift och leverans av tjänsten, däribland de typer av information som kan komma att eftersökas, hur en identitet styrks, vilken information som får lagras och hur länge.

3.

Tillhandahållarna av tjänster kan visa att de har förmåga att ta på sig skadeståndsskyldighet samt att de har tillräckliga ekonomiska resurser för att fortsätta driften och tillhandahålla tjänsterna.

4.

Tillhandahållarna av tjänster är ansvariga för fullgörandet av eventuella åtaganden som lagts ut på entreprenad till en annan enhet, och att systemets policy efterlevs, på samma sätt som om de själva hade utfört arbetsuppgifterna.

5.

System för elektronisk identifiering som inte inrättats enligt nationell rätt ska ha en fullt användbar plan för verksamhetens upphörande. En sådan plan ska innefatta en metodisk nedläggning av driften eller fortsättning genom en annan tillhandahållare av tjänster, sättet på vilket behöriga myndigheter och slutanvändare informeras samt ingående uppgifter om hur register ska skyddas, bevaras och destrueras i enlighet med systemets policy.

Väsentlig

Samma som nivån låg.

Hög

Samma som nivån låg.

2.4.2   Offentliggjorda meddelanden och användaruppgifter

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

En offentliggjord tjänstedefinition ska finnas som innefattar alla tillämpliga villkor och avgifter, däribland eventuella begränsningar av användningen. Tjänstedefinitionen ska innefatta en policy för integritetsskydd.

2.

Lämpliga policyer och förfaranden ska införas för att tjänsteanvändarna ska informeras i tid och på ett tillförlitligt sätt om eventuella ändringar av tjänstedefinitionen och om alla tillämpliga villkor och policyn för integritetsskydd för den specificerade tjänsten.

3.

Lämpliga policyer och förfaranden ska införas så att alla förfrågningar om upplysningar kan besvaras till fullo och på korrekt sätt.

Väsentlig

Samma som nivån låg.

Hög

Samma som nivån låg.

2.4.3   Ledning avseende informationssäkerhet

Tillitsnivå

Erforderliga beståndsdelar

Låg

Det finns ett effektivt ledningssystem för informationssäkerhet för hantering och kontroll av informationssäkerhetsrisker.

Väsentlig

Nivå låg, samt

ledningssystemet för informationssäkerhet följer utprovade standarder eller principer för hantering och kontroll av informationssäkerhetsrisker.

Hög

Samma som nivån väsentlig.

2.4.4   Registerföring

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Registrera och lagra relevant information med hjälp av ett effektivt registerhanteringssystem, med beaktande av tillämplig lagstiftning och god praxis i fråga om skydd och lagring av personuppgifter.

2.

Lagra – i den mån det är tillåtet enligt nationell lag eller andra nationella administrativa bestämmelser – och skydda register så länge som de behövs för granskning och undersökning av säkerhetsöverträdelser och för lagring, varefter registren ska förstöras på ett säkert sätt.

Väsentlig

Samma som nivån låg.

Hög

Samma som nivån låg.

2.4.5   Anläggningar och personal

Av följande tabell framgår kraven i fråga om anläggningar och personal och underleverantörer, om tillämpligt, som åtar sig uppgifter som omfattas av denna förordning. Uppfyllandet av vart och ett av kraven ska stå i proportion till den risknivå som är knuten till den tillitsnivå som tillhandahålls.

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Förfaranden ska finnas som ser till att personal och underleverantörer är tillräckligt utbildade, kvalificerade och erfarna i de färdigheter som krävs för att sköta sina roller.

2.

Tillräcklig personal och underleverantörer ska finnas för att korrekt driva och bemanna tjänsten i enlighet med policyer och förfaranden som gäller för den.

3.

Anläggningar som används för att tillhandahålla tjänsten ska kontinuerligt övervakas och skyddas mot skador orsakade av miljöhändelser, obehörig åtkomst och andra faktorer som kan inverka på tjänstens säkerhet.

4.

Anläggningar som används för att tillhandahålla tjänsten ska säkerställa att tillträde till utrymmen där personliga, kryptografiska eller andra känsliga uppgifter finns eller behandlas, är begränsat till auktoriserad personal eller underleverantörer.

Väsentlig

Samma som nivån låg.

Hög

Samma som nivån låg.

2.4.6   Tekniska kontroller

Tillitsnivå

Erforderliga beståndsdelar

Låg

1.

Proportionella tekniska kontroller ska finnas för att hantera riskerna för tjänsternas säkerhet, och för att skydda de behandlade uppgifternas sekretess, integritet och tillgänglighet.

2.

Elektroniska kommunikationskanaler som används för att utbyta personuppgifter eller känslig information skyddas mot avlyssning, manipulation och omspelning.

3.

Tillgång till känsligt kryptografiskt material, om sådant används för utfärdande av medel för elektronisk identifiering och autentisering, ska strikt begränsas till de befattningar och applikationer som kräver tillgång. Det ska säkerställas att sådant material aldrig ständigt lagras i klartext.

4.

Förfaranden finns för att se till att säkerheten upprätthålls över tiden och att förmåga finns att agera om risknivån förändras eller vid incidenter och säkerhetsöverträdelser.

5.

Alla medel som innehåller personuppgifter eller kryptografiska eller andra känsliga uppgifter ska lagras, transporteras och bortskaffas på ett säkert sätt.

Väsentlig

Samma som nivån låg, samt

känsligt kryptografiskt material, om sådant används för utfärdande av medel för elektronisk identifiering och autentisering, ska skyddas från manipulation

Hög

Samma som nivån väsentlig.

2.4.7   Efterlevnad och revision

Tillitsnivå

Erforderliga beståndsdelar

Låg

Regelbundna interna revisioner, som är utformade så att de omfattar alla delar som är relevanta för tillhandahållandet av tjänster, för att garantera efterlevnaden av relevant policy.

Väsentlig

Förekomst av regelbundna oberoende interna eller externa revisioner, som är utformade så att de omfattar alla delar som är relevanta för tillhandahållandet av tjänster, för att garantera efterlevnaden av relevant policy.

Hög

1.

Förekomst av regelbundna oberoende externa revisioner, som är utformade så att de omfattar alla delar som är relevanta för tillhandahållandet av tjänster, för att garantera efterlevnaden av relevant policy.

2.

Om systemet förvaltas direkt av en statlig myndighet sker revision i enlighet med nationell lagstiftning.


(1)  Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).


9.9.2015   

SV

Europeiska unionens officiella tidning

L 235/21


KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2015/1503

av den 8 september 2015

om fastställande av schablonimportvärden för bestämning av ingångspriset för vissa frukter och grönsaker

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 1308/2013 av den 17 december 2013 om upprättande av en samlad marknadsordning för jordbruksprodukter och om upphävande av rådets förordningar (EEG) nr 922/72, (EEG) nr 234/79, (EG) nr 1037/2001 och (EG) nr 1234/2007 (1),

med beaktande av kommissionens genomförandeförordning (EU) nr 543/2011 av den 7 juni 2011 om tillämpningsföreskrifter för rådets förordning (EG) nr 1234/2007 vad gäller sektorn för frukt och grönsaker och sektorn för bearbetad frukt och bearbetade grönsaker (2), särskilt artikel 136.1, och

av följande skäl:

(1)

I genomförandeförordning (EU) nr 543/2011 fastställs, i enlighet med resultatet av de multilaterala handelsförhandlingarna i Uruguayrundan, kriterierna för kommissionens fastställande av schablonvärden vid import från tredjeländer, för de produkter och de perioder som anges i del A i bilaga XVI till den förordningen.

(2)

Varje arbetsdag fastställs ett schablonimportvärde i enlighet med artikel 136.1 i genomförandeförordning (EU) nr 543/2011 med hänsyn till varierande dagliga uppgifter. Denna förordning bör därför träda i kraft samma dag som den offentliggörs i Europeiska unionens officiella tidning.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

De schablonimportvärden som avses i artikel 136 i genomförandeförordning (EU) nr 543/2011 fastställs i bilagan till denna förordning.

Artikel 2

Denna förordning träder i kraft samma dag som den offentliggörs i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 8 september 2015.

På kommissionens vägnar

För ordföranden

Jerzy PLEWA

Generaldirektör för jordbruk och landsbygdsutveckling


(1)  EUT L 347, 20.12.2013, s. 671.

(2)  EUT L 157, 15.6.2011, s. 1.


BILAGA

Schablonimportvärden för bestämning av ingångspriset för vissa frukter och grönsaker

(euro/100 kg)

KN-nummer

Kod för tredjeland (1)

Schablonimportvärde

0702 00 00

MA

173,3

MK

48,7

XS

41,5

ZZ

87,8

0707 00 05

MK

76,3

TR

116,3

XS

42,0

ZZ

78,2

0709 93 10

TR

133,1

ZZ

133,1

0805 50 10

AR

135,9

BO

135,7

CL

125,5

UY

142,2

ZA

136,9

ZZ

135,2

0806 10 10

EG

239,8

MK

63,9

TR

129,5

ZZ

144,4

0808 10 80

AR

188,7

BR

93,9

CL

134,4

NZ

143,4

US

112,5

UY

110,5

ZA

117,6

ZZ

128,7

0808 30 90

AR

131,9

CL

100,0

TR

122,9

ZA

113,5

ZZ

117,1

0809 30 10, 0809 30 90

MK

80,1

TR

141,7

ZZ

110,9

0809 40 05

BA

54,8

IL

336,8

MK

44,1

XS

70,3

ZZ

126,5


(1)  Landsbeteckningar som fastställs i kommissionens förordning (EU) nr 1106/2012 av den 27 november 2012 om tillämpning av Europaparlamentets och rådets förordning (EG) nr 471/2009 om gemenskapsstatistik över utrikeshandeln med icke-medlemsstater vad gäller uppdateringen av nomenklaturen avseende länder och territorier (EUT L 328, 28.11.2012, s. 7). Koden ZZ står för ”övrigt ursprung”.


BESLUT

9.9.2015   

SV

Europeiska unionens officiella tidning

L 235/24


KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2015/1504

av den 7 september 2015

om beviljande av undantag för vissa medlemsstater vad gäller insamling av statistik enligt Europaparlamentets och rådets förordning (EG) nr 1099/2008 om energistatistik

[delgivet med nr C(2015) 6105]

(Endast de estniska, franska, grekiska, nederländska och slovakiska texterna är giltiga)

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EG) nr 1099/2008 av den 22 oktober 2008 om energistatistik (1), särskilt artiklarna 5.4 och 10.2, och

av följande skäl:

(1)

I enlighet med artikel 5.4 i förordning (EG) nr 1099/2008 får kommissionen på vederbörligen motiverad begäran från en medlemsstat bevilja undantag för de delar av den nationella statistiken för vilka insamlingen skulle leda till en orimlig belastning för uppgiftslämnarna.

(2)

Belgien, Estland, Cypern och Slovakien har lämnat in begäran om undantag när det gäller insamling av statistik om detaljerad energiförbrukning i hushåll efter typ av slutanvändning för vissa referensår.

(3)

Dessa medlemsstater har lämnat in uppgifter som motiverar att undantag beviljas.

(4)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från kommittén för det europeiska statistiksystemet.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Följande undantag från bestämmelserna i förordning (EG) nr 1099/2008 ska beviljas:

1.

Belgien ska beviljas undantag från att ta fram resultat för referensåret 2015 för punkt 1.2.3 posterna 4.2.1–4.2.5, punkt 2.2.3 posterna 4.2.1–4.2.5, punkt 3.2.3 posterna 3.1–3.6, punkt 4.2.3 posterna 7.2.1–7.2.5 och punkt 5.2.4 posterna 4.2.1–4.2.5 i bilaga B om statistik om detaljerad energiförbrukning i hushåll efter typ av slutanvändning (enligt definitionen i punkt 2.3 post 26 ”Andra sektorer – Hushåll” i bilaga A).

2.

Estland ska beviljas undantag från att ta fram resultat för referensåren 2015, 2016 och 2017 när det gäller punkt 1.2.3 posterna 4.2.1–4.2.5, punkt 2.2.3 posterna 4.2.1–4.2.5, punkt 3.2.3 posterna 3.1–3.6, punkt 4.2.3 posterna 7.2.1–7.2.5 och punkt 5.2.4 posterna 4.2.1–4.2.5 i bilaga B om statistik om detaljerad energiförbrukning i hushåll efter typ av slutanvändning (enligt definitionen i punkt 2.3 post 26 ”Andra sektorer – Hushåll” i bilaga A).

3.

Cypern ska beviljas undantag från att ta fram resultat för referensåren 2015, 2016 och 2017 när det gäller punkt 1.2.3 posterna 4.2.1–4.2.5, punkt 2.2.3 posterna 4.2.1–4.2.5, punkt 3.2.3 posterna 3.1–3.6 och punkt 5.2.4 posterna 4.2.1–4.2.5 i bilaga B om statistik om detaljerad energiförbrukning i hushåll efter typ av slutanvändning (enligt definitionen i punkt 2.3 post 26 ”Andra sektorer – Hushåll” i bilaga A).

4.

Slovakien ska beviljas undantag från att ta fram resultat för referensåren 2015 och 2016 när det gäller punkt 1.2.3 posterna 4.2.1–4.2.5, punkt 2.2.3 posterna 4.2.1–4.2.5, punkt 3.2.3 posterna 3.1–3.6, punkt 4.2.3 posterna 7.2.1–7.2.5 och punkt 5.2.4 posterna 4.2.1–4.2.5 i bilaga B om statistik om detaljerad energiförbrukning i hushåll efter typ av slutanvändning (enligt definitionen i punkt 2.3 post 26 ”Andra sektorer – Hushåll” i bilaga A).

Artikel 2

Detta beslut riktar sig till Konungariket Belgien, Republiken Estland, Republiken Cypern och Republiken Slovakien.

Utfärdat i Bryssel den 7 september 2015.

På kommissionens vägnar

Marianne THYSSEN

Ledamot av kommissionen


(1)  EUT L 304, 14.11.2008, s. 1.


9.9.2015   

SV

Europeiska unionens officiella tidning

L 235/26


KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2015/1505

av den 8 september 2015

om fastställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 22.5, och

av följande skäl:

(1)

Förteckningar över betrodda tjänsteleverantörer är viktiga för att bygga upp förtroendet bland aktörer på marknaden, eftersom de visar status för tillhandahållaren av tjänster vid tidpunkten för tillsynen.

(2)

Den gränsöverskridande användningen av elektroniska signaturer (dvs. underskrifter) har underlättats genom kommissionens beslut 2009/767/EG (2), i vilket fastställs medlemsstaternas skyldighet att inrätta, underhålla och offentliggöra tillförlitliga förteckningar (dvs. förteckningar över betrodda tjänsteleverantörer), med information om tillhandahållare av certifieringstjänster som utfärdar kvalificerade certifikat till allmänheten i enlighet med Europaparlamentets och rådets direktiv 1999/93/EG (3) och som övervakas och ackrediteras av medlemsstaterna.

(3)

Enligt artikel 22 i förordning (EU) nr 910/2014 är medlemsstaterna skyldiga att upprätta, underhålla och offentliggöra förteckningar över betrodda tjänsteleverantörer, på ett säkert sätt och elektroniskt undertecknade eller förseglade (dvs. stämplade) i en form som lämpar sig för automatiserad behandling, och att utan onödigt dröjsmål till kommissionen lämna information om det organ som ansvarar för att upprätta nationella förteckningar över betrodda tjänsteleverantörer.

(4)

En tillhandahållare av betrodda tjänster och de betrodda tjänster som tillhandahålls bör anses vara kvalificerade när tillhandahållaren har status som kvalificerad i förteckningen över betrodda tjänsteleverantörer. I syfte att säkerställa att andra skyldigheter som följer av förordning (EU) nr 910/2014, särskilt de som fastställs i artiklarna 27 och 37, lätt kan fullgöras av tjänsteleverantörerna på distans och på elektronisk väg, och att uppfylla de berättigade förväntningarna hos andra tillhandahållare av certifikattjänster som inte utfärdar kvalificerade certifikat, men väl tillhandahåller tjänster som har anknytning till elektroniska signaturer (underskrifter) enligt direktiv 1999/93/EG och som är upptagna i förteckningen den 30 juni 2016, bör det vara möjligt för medlemsstaterna att lägga till andra betrodda tjänster än de kvalificerade i förteckningarna över betrodda tjänsteleverantörer, på frivillig basis och på nationell nivå, förutsatt att det tydligt anges att de inte är kvalificerade enligt förordning (EU) nr 910/2014.

(5)

I enlighet med skäl 25 i förordning (EU) nr 910/2014 får medlemsstaterna lägga till andra typer av nationellt definierade betrodda tjänster än de som anges i artikel 3.16 i förordning (EU) nr 910/2014, förutsatt att det tydligt anges att de inte är kvalificerade enligt förordning (EU) nr 910/2014.

(6)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Medlemsstaterna ska upprätta, offentliggöra och underhålla förteckningar över betrodda tjänsteleverantörer med uppgifter om kvalificerade tillhandahållare av betrodda tjänster som står under medlemsstaternas tillsyn, liksom uppgifter om de kvalificerade betrodda tjänster som dessa tillhandahåller. Dessa förteckningar ska uppfylla de tekniska specifikationer som anges i bilaga I.

Artikel 2

Medlemsstater får i förteckningarna över betrodda tjänsteleverantörer infoga information om icke-kvalificerade tillhandahållare av betrodda tjänster, tillsammans med information om de icke-kvalificerade betrodda tjänster som dessa tillhandahåller. I förteckningen ska det tydligt anges vilka tillhandahållare av betrodda tjänster som inte är kvalificerade, och de icke-kvalificerade betrodda tjänster de tillhandahåller.

Artikel 3

1.   Enligt artikel 22.2 i förordning (EU) nr 910/2014 ska medlemsstaterna elektroniskt underteckna eller försegla (dvs. stämpla) förteckningar över betrodda tjänsteleverantörer i en form som lämpar sig för automatiserad behandling i enlighet med de tekniska specifikationer som fastställs i bilaga I.

2.   Om en medlemsstat på elektronisk väg offentliggör förteckningen över betrodda tjänsteleverantörer i människoläsbar form ska den se till att förteckningen i denna form innehåller samma uppgifter som förteckningen i den form som lämpar sig för automatiserad behandling, och den ska underteckna eller stämpla den på elektronisk väg i enlighet med de tekniska specifikationer som fastställs i bilaga I.

Artikel 4

1.   Medlemsstaterna ska lämna den information som avses i artikel 22.3 i förordning (EU) nr 910/2014 till kommissionen med hjälp av mallen i bilaga II.

2.   Den information som avses i punkt 1 ska omfatta två eller flera certifikat för öppna nycklar från systemoperatören, med förskjutna giltighetsperioder på minst tre månader, som motsvarar de privata nycklar som kan användas till att på elektronisk väg underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer i den form som lämpar sig för automatiserad behandling och i människoläsbar form när dessa offentliggörs.

3.   Enligt artikel 22.4 i förordning (EU) nr 910/2014 ska kommissionen se till att den information som avses i punkterna 1 och 2 och som anmäls av medlemsstaterna görs tillgänglig för allmänheten via en säker kanal till en autentiserad webbserver i en undertecknad eller förseglad (dvs. stämplad) form som lämpar sig för automatiserad behandling.

4.   Kommissionen får se till att den information som avses i punkterna 1 och 2 och som anmäls av medlemsstaterna görs tillgänglig för allmänheten via en säker kanal till en autentiserad webbserver i undertecknad eller stämplad människoläsbar form.

Artikel 5

Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Detta beslut är till alla delar bindande och direkt tillämpligt i alla medlemsstater.

Utfärdat i Bryssel den 8 september 2015.

På kommissionens vägnar

Jean-Claude JUNCKER

Ordförande


(1)  EUT L 257, 28.8.2014, s. 73.

(2)  Kommissionens beslut 2009/767/EG av den 16 oktober 2009 om åtgärder som underlättar användningen av förfaranden på elektronisk väg genom gemensamma kontaktpunkter i enlighet med Europaparlamentets och rådets direktiv 2006/123/EG om tjänster på den inre marknaden (EUT L 274, 20.10.2009, s. 36).

(3)  Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer (EGT L 13, 19.1.2000, s. 12).


BILAGA I

TEKNISKA SPECIFIKATIONER FÖR EN GEMENSAM MALL FÖR FÖRTECKNINGAR ÖVER BETRODDA TJÄNSTELEVERANTÖRER

KAPITEL I

ALLMÄNNA KRAV

Förteckningarna över betrodda tjänsteleverantörer ska omfatta både aktuell och historisk information om status för de tjänster som ingår i förteckningen, från det att tjänsteleverantören infogades i förteckningen.

Termerna godkännande, ackreditering och/eller tillsyn i föreliggande specifikationer omfattar även de nationella godkännandesystemen, men extra information om karaktären hos sådana nationella system kommer att tillhandahållas av medlemsstaterna i deras förteckningar över betrodda tjänsteleverantörer, inklusive klarläggande om möjliga skillnader i de tillsynssystem som tillämpas på kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som tillhandahålls.

Syftet med den information som tillhandahålls i förteckningen över betrodda tjänsteleverantörer är främst att ge stöd åt valideringen av igenkänningstecken för kvalificerade betrodda tjänster, dvs. fysiska eller binära (logiska) objekt som genereras eller utfärdas som ett resultat av en använd kvalificerad betrodd tjänst: kvalificerade elektroniska underskrifter/stämplar, avancerade elektroniska underskrifter/stämplar med stöd av ett kvalificerat certifikat, kvalificerade tidsstämplar, kvalificerade elektroniska leveransbevis osv.

KAPITEL II

DETALJSPECIFIKATIONER FÖR DEN GEMENSAMMA MALLEN FÖR FÖRTECKNINGAR ÖVER BETRODDA TJÄNSTELEVERANTÖRER

Föreliggande specifikationer utgår från de specifikationer och krav som fastställs i Etsi TS 119 612 v2.1.1 (nedan kallad Etsi TS 119 612).

När inget särskilt krav fastställs i föreliggande specifikationer ska kraven i Etsi TS 119 612, klausulerna 5 och 6, tillämpas i sin helhet. När specifika krav fastställs i föreliggande specifikationer ska de ha företräde framför motsvarande krav i Etsi TS 119 612. I händelse av skillnader mellan föreliggande specifikationer och specifikationer från Etsi 119 612 ska föreliggande specifikationer ha företräde.

Scheme name (systemnamn) (klausul 5.3.6)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.3.6 där följande namn ska användas till systemet:

EN_name_value = ”Förteckning över betrodda tjänsteleverantörer med information om de kvalificerade tillhandahållare av betrodda tjänster som står under tillsyn av den utfärdande medlemsstaten, tillsammans med information om de kvalificerade betrodda tjänster som dessa tillhandahåller, i enlighet med de relevanta bestämmelser som fastställs i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.”

Scheme information URI (URI med systeminformation) (klausul 5.3.7)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.3.7 där den ändamålsenliga informationen om systemet (appropriate information about the scheme) ska innehålla åtminstone följande:

a)

Inledande gemensam information för alla medlemsstater om tillämpningsområde för och bakgrund till förteckningen över betrodda tjänsteleverantörer, underliggande tillsynssystem och, i förekommande fall, nationella system för godkännande, t.ex. ackreditering. Den gemensamma text som ska användas är texten nedan, i vilken teckensträngen ”[namn på medlemsstat]” ska ersättas med namnet på den relevanta medlemsstaten:

”Föreliggande förteckning är förteckningen över betrodda tjänsteleverantörer, med information om de kvalificerade tillhandahållare av betrodda tjänster som står under tillsyn av [namn på medlemsstat], tillsammans med information om de kvalificerade betrodda tjänster som dessa tillhandahåller, i enlighet med de relevanta bestämmelser som fastställs i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Den gränsöverskridande användningen av elektroniska signaturer (dvs. underskrifter) har underlättats genom kommissionens beslut 2009/767/EG av den 16 oktober 2009, i vilket fastställs medlemsstaternas skyldighet att inrätta, underhålla och offentliggöra tillförlitliga förteckningar (dvs. förteckningar över betrodda tjänsteleverantörer), med information om tillhandahållare av certifieringstjänster som utfärdar kvalificerade certifikat till allmänheten i enlighet med Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer, och som övervakas och ackrediteras av medlemsstaterna. Föreliggande förteckning över betrodda tjänsteleverantörer utgör fortsättningen av den förteckning över betrodda tjänsteleverantörer som fastställdes med beslut 2009/767/EG.”

Förteckningar över betrodda tjänsteleverantörer är viktiga faktorer när det gäller att skapa förtroende mellan operatörer på elektroniska marknader, eftersom användarna ges möjlighet att fastställa kvalificerad status och statushistorik för tillhandahållare av betrodda tjänster och deras tjänster.

Medlemsstaternas förteckningar över betrodda tjänsteleverantörer omfattar åtminstone den information som anges i artiklarna 1 och 2 i kommissionens genomförandebeslut (EU) 2015/1505.

Medlemsstater får i förteckningarna över betrodda tjänsteleverantörer infoga information om icke-kvalificerade tillhandahållare av betrodda tjänster, tillsammans med information om de icke-kvalificerade betrodda tjänster som dessa tillhandahåller. Det ska tydligt anges att de inte är kvalificerade i enlighet med förordning (EU) nr 910/2014.

Medlemsstater får i förteckningarna över betrodda tjänsteleverantörer infoga information om nationellt definierade betrodda tjänster av annan typ än de som anges i artikel 3.16 i förordning (EU) nr 910/2014. Det ska tydligt anges att de inte är kvalificerade i enlighet med förordning (EU) nr 910/2014.

b)

Specifik information om det underliggande tillsynssystemet och, i förekommande fall, nationella system för godkännande (t.ex. ackreditering), särskilt följande (1):

1.

Information om det nationella tillsynssystem som är tillämpligt på kvalificerade och icke-kvalificerade tillhandahållare av betrodda tjänster och på de kvalificerade och icke-kvalificerade betrodda tjänster som de tillhandahåller, såsom regleras genom förordning (EU) nr 910/2014.

2.

I förekommande fall, information om det nationella frivilliga ackrediteringssystem som är tillämpligt på tillhandahållare av certifikattjänster som utfärdat kvalificerade certifikat i enlighet med direktiv 1999/93/EG.

Denna specifika information ska för varje underliggande system som anges ovan minst innehålla följande:

1.

En allmän beskrivning.

2.

Information om den process som följs för nationella tillsynssystem och, i förekommande fall, för godkännande enligt ett nationellt godkännandesystem.

3.

Information om kriterierna för tillsyn eller, i förekommande fall, godkännande av tillhandahållare av betrodda tjänster.

4.

Information om de kriterier och regler som används för att välja ut tillsynsansvariga/revisorer och om hur dessa bedömer tillhandahållare av betrodda tjänster och de betrodda tjänster som tillhandahålls.

5.

I förekommande fall, andra kontaktuppgifter och allmän information om systemets drift.

Scheme type/community/rules (typ av/gemenskap för/regler för system) (klausul 5.3.9)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.3.9.

Det ska endast innehålla URI:er på brittisk engelska.

Det ska innehålla minst två URI:er:

1.

En URI som är gemensam för alla medlemsstaters förteckningar över betrodda tjänsteleverantörer och som länkar till en beskrivande text som ska vara tillämplig på samtliga förteckningar över betrodda tjänsteleverantörer enligt följande:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Beskrivande text:

”Participation in a scheme

Each Member State must create a trusted list including information related to the qualified trust service providers that are under supervision, together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

The present implementation of such trusted lists is also to be referred to in the list of links (pointers) towards each Member State's trusted list, compiled by the European Commission.

Policy/rules for the assessment of the listed services

Member States must supervise qualified trust service providers established in the territory of the designating Member State as laid down in Chapter III of Regulation (EU) No 910/2014 to ensure that those qualified trust service providers and the qualified trust services that they provide meet the requirements laid down in the Regulation.

The trusted lists of Member States include, as a minimum, information specified in Articles 1 and 2 of Commission Implementing Decision (EU) 2015/1505.

The trusted lists include both current and historical information about the status of listed trust services.

Each Member State's trusted list must provide information on the national supervisory scheme and where applicable, national approval (e.g. accreditation) scheme(s) under which the trust service providers and the trust services that they provide are listed.

Interpretation of the Trusted List

The general user guidelines for applications, services or products relying on a trusted list published in accordance with Regulation (EU) No 910/2014 are as follows:

The ’qualified’ status of a trust service is indicated by the combination of the ’Service type identifier’ (’Sti’) value in a service entry and the status according to the ’Service current status’ field value as from the date indicated in the ’Current status starting date and time’. Historical information about such a qualified status is similarly provided when applicable.

Regarding qualified trust service providers issuing qualified certificates for electronic signatures, for electronic seals and/or for website authentication:

A ’CA/QC’’Service type identifier’ (’Sti’) entry (possibly further qualified as being a ’RootCA-QC’ through the use of the appropriate ’Service information extension’ (’Sie’) additionalServiceInformation Extension)

indicates that any end-entity certificate issued by or under the CA represented by the ’Service digital identifier’ (’Sdi’) CA's public key and CA's name (both CA data to be considered as trust anchor input), is a qualified certificate (QC) provided that it includes at least one of the following:

the id-etsi-qcs-QcCompliance Etsi defined statement (id-etsi-qcs 1),

the 0.4.0.1456.1.1 (QCP+) Etsi defined certificate policy OID,

the 0.4.0.1456.1.2 (QCP) Etsi defined certificate policy OID,

and provided this is ensured by the Member State Supervisory Body through a valid service status (i.e. ’undersupervision’, ’supervisionincessation’, ’accredited’ or ’granted’) for that entry.

and IF’Sie’’Qualifications Extension’ information is present, then in addition to the above default rule, those certificates that are identified through the use of ’Sie’’Qualifications Extension’ information, constructed as a sequence of filters further identifying a set of certificates, must be considered according to the associated qualifiers providing additional information regarding their qualified status, the ’SSCD support’ and/or ’Legal person as subject’ (e.g. certificates containing a specific OID in the Certificate Policy extension, and/or having a specific ’Key usage’ pattern, and/or filtered through the use of a specific value to appear in one specific certificate field or extension, etc.). These qualifiers are part of the following set of ’Qualifiers’ used to compensate for the lack of information in the corresponding certificate content, and that are used respectively:

to indicate the qualified certificate nature:

’QCStatement’ meaning the identified certificate(s) is(are) qualified under Directive 1999/93/EC;

’QCForESig’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic signature under Regulation (EU) No 910/2014;

’QCForESeal’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic seal under Regulation (EU) No 910/2014;

’QCForWSA’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for web site authentication under Regulation (EU) No 910/2014.

to indicate that the certificate is not to be considered as qualified:

’NotQualified’ meaning the identified certificate(s) is(are) not to be considered as qualified; and/or

to indicate the nature of the SSCD support:

’QCWithSSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in an SSCD, or

’QCNoSSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in an SSCD, or

’QCSSCDStatusAsInCert’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key residing in an SSCD;

to indicate the nature of the QSCD support:

’QCWithQSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in a QSCD, or

’QCNoQSCD’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in a QSCD, or

’QCQSCDStatusAsInCert’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key is residing in a QSCD;

’QCQSCDManagedOnBehalf’ indicating that all certificates identified by the applicable list of criteria, when they are claimed or stated as qualified, have their private key is residing in a QSCD for which the generation and management of that private key is done by a qualified TSP on behalf of the entity whose identity is certified in the certificate; and/or

to indicate issuance to Legal Person:

’QCForLegalPerson’ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), are issued to a Legal Person under Directive 1999/93/EC.

Note: The information provided in the trusted list is to be considered as accurate meaning that:

if none of the id-etsi-qcs 1 statement, QCP OID or QCP+ OID information is included in an end-entity certificate, and

if no ’Sie’’Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ’QCStatement’ qualifier, or

an ’Sie’’Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ’NotQualified’ qualifier,

then the certificate is not to be considered as qualified.

’Service digital identifiers’ are to be used as Trust Anchors in the context of validating electronic signatures or seals for which signer's or seal creator's certificate is to be validated against TL information, hence only the public key and the associated subject name are needed as Trust Anchor information. When more than one certificate are representing the public key identifying the service, they are to be considered as Trust Anchor certificates conveying identical information with regard to the information strictly required as Trust Anchor information.

The general rule for interpretation of any other ’Sti’ type entry is that, for that ’Sti’ identified service type, the listed service named according to the ’Service name’ field value and uniquely identified by the ’Service digital identity’ field value has the current qualified or approval status according to the ’Service current status’ field value as from the date indicated in the ’Current status starting date and time’.

Specific interpretation rules for any additional information with regard to a listed service (e.g. ’Service information extensions’ field) may be found, when applicable, in the Member State specific URI as part of the present ’Scheme type/community/rules’ field.

Please refer to the applicable secondary legislation pursuant to Regulation (EU) No 910/2014 for further details on the fields, description and meaning for the Member States' trusted lists.”

2.

En URI som är specifik för en viss medlemsstats förteckning över betrodda tjänsteleverantörer och som länkar till en beskrivande text som ska vara tillämplig på förteckningen över betrodda tjänsteleverantörer från denna medlemsstat:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC där CC = den tvåbokstavskod enligt ISO 3166–1 (2) som används i fältet ”Scheme territory” (klausul 5.3.10).

Användare kan här finna den aktuella medlemsstatens specifika policy/regler för bedömning av de betrodda tjänster som ingår i förteckningen, i enlighet med medlemsstatens tillsynssystem och, i förekommande fall, godkännandesystem.

Användare kan här finna den aktuella medlemsstatens specifika beskrivning av hur innehållet i förteckningen över betrodda tjänsteleverantörer ska användas och tolkas när det gäller de icke-kvalificerade betrodda tjänster och/eller nationellt definierade betrodda tjänster som är upptagna i förteckningen. Detta kan användas som indikation på en potentiell granularitet i det nationella godkännandesystemet för tillhandahållare av certifikattjänster som inte utfärdar kvalificerade certifikat och hur fälten ”Scheme service definition URI” (klausul 5.5.6) och ”Service information extension” (klausul 5.5.9) används för detta ändamål.

Medlemsstater får skapa och använda ytterligare URI:er som utvidgning av den ovannämnda medlemsstatsspecifika URI:n (t.ex. URI:er som definierats genom denna hierarkiska specifika URI).

TSL policy/legal notice (policy/juridiskt meddelande för förteckning över betrodda tjänster) (klausul 5.3.11)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.3.11, där policyn/det juridiska meddelandet avseende systemets juridiska status eller de juridiska krav som systemet uppfyller i etableringslandet och/eller eventuella begränsningar och villkor för förteckningens underhåll och offentliggörande ska vara en sekvens av flerspråkiga teckensträngar (se klausul 5.1.4) som, på brittisk engelska som obligatoriskt språk och ett eller flera valfria nationella språk, tillhandahåller den faktiska texten i en sådan policy eller ett sådant meddelande, uppbyggd på följande sätt:

1.

En första obligatorisk del som är gemensam för alla medlemsstaters förteckningar över betrodda tjänsteleverantörer och som anger den tillämpliga rättsliga ramen, och vars engelska version lyder:

”The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.”

Text på en medlemsstats nationella språk (svenska):

”Tillämplig rättslig ram för föreliggande förteckning över betrodda tjänsteleverantörer är Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.”

2.

En andra valfri del som är specifik för varje förteckning över betrodda tjänsteleverantörer och som hänvisar till specifika tillämpliga nationella rättsliga ramar.

Service current status (aktuell tjänstestatus) (klausul 5.5.4)

Detta fält ska finnas och ska följa specifikationerna i TS 119 612 klausul 5.5.4.

Migreringen av värdet för ”Service current status” för tjänster som förtecknas i medlemsstatens förteckning över betrodda tjänsteleverantörer dagen före den dag då förordning (EU) nr 910/2014 blir tillämplig (dvs. den 30 juni 2016) ska genomföras på den dag då förordningen blir tillämplig (dvs. den 1 juli 2016), såsom anges i Annex J till Etsi TS 119 612.

KAPITEL III

KONTINUITET NÄR DET GÄLLER FÖRTECKNINGAR ÖVER BETRODDA TJÄNSTELEVERANTÖRER

Certifikat som ska anmälas till kommissionen i enlighet med artikel 4.2 i detta beslut ska uppfylla kraven i klausul 5.7.1 i Etsi TS 119 612 och ska utfärdas på ett sådant sätt att de

har minst tre månaders förskjutning i deras sista giltighetsdag (”inte efter”),

skapas på nya nyckelpar (tidigare använda nyckelpar får inte certifieras igen).

Om ett av certifikaten för öppna nycklar som kan användas till att validera underskriften eller stämpeln på förteckningen över betrodda tjänsteleverantörer, och som har anmälts till kommissionen och offentliggjorts i kommissionens centrala länkförteckning, löper ut ska medlemsstaterna,

om den föreliggande offentliggjorda förteckningen över betrodda tjänsteleverantörer undertecknades eller stämplades med en privat nyckel vars certifikat för öppen nyckel har löpt ut, utan dröjsmål utfärda en ny förteckning över betrodda tjänsteleverantörer som har undertecknats eller stämplats med en privat nyckel vars anmälda certifikat för öppen nyckel inte har löpt ut,

när så krävs, generera nya nyckelpar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer och generera deras motsvarande certifikat för öppna nycklar,

snarast till kommissionen anmäla den nya förteckningen över certifikat för öppna nycklar som motsvarar de privata nycklar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer.

Om en av de privata nycklarna som motsvarar ett av certifikaten för öppna nycklar som kan användas till att validera underskriften eller stämpeln på förteckningen över betrodda tjänsteleverantörer, och som har anmälts till kommissionen och offentliggjorts i kommissionens centrala länkförteckning, äventyras eller tas ur bruk ska medlemsstaterna

på nytt och utan dröjsmål utfärda en ny förteckning över betrodda tjänsteleverantörer, undertecknad eller stämplad med en icke äventyrad privat nyckel, om den offentliggjorda förteckningen över betrodda tjänsteleverantörer undertecknades eller stämplades med en privat nyckel som äventyrats eller tagits ut bruk,

när så krävs, generera nya nyckelpar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer och generera deras motsvarande certifikat för öppna nycklar,

snarast till kommissionen anmäla den nya förteckningen över certifikat för öppna nycklar som motsvarar de privata nycklar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer.

Om alla de privata nycklar som motsvarar de certifikat för öppna nycklar som kan användas till att validera underskriften på förteckningen över betrodda tjänsteleverantörer, och som har anmälts till kommissionen och offentliggjorts i kommissionens centrala länkförteckning, äventyras eller tas ur bruk ska medlemsstaterna

generera nya nyckelpar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer och generera deras motsvarande certifikat för öppna nycklar,

på nytt och utan dröjsmål utfärda en ny förteckning över betrodda tjänsteleverantörer, undertecknad eller stämplad med en av dessa nya privata nycklar och vars motsvarande certifikat för öppen nyckel ska anmälas,

snarast till kommissionen anmäla den nya förteckningen över certifikat för öppna nycklar som motsvarar de privata nycklar som kan användas till att underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer.

KAPITEL IV

SPECIFIKATIONER FÖR FÖRTECKNINGEN ÖVER BETRODDA TJÄNSTELEVERANTÖRER I MÄNNISKOLÄSBAR FORM

När en förteckning över betrodda tjänsteleverantörer i människoläsbar form fastställs och offentliggörs ska den tillhandahållas i form av ett pdf-dokument i enlighet med ISO 32000 (3) som ska formateras i enlighet med profilen PDF/A (ISO 19005 (4)).

Innehållet i den PDF/A-baserade förteckningen över betrodda tjänsteleverantörer i människoläsbar form ska uppfylla följande krav:

Strukturen för den människoläsbara förteckningen ska avspegla den logiska modell som beskrivs i TS 119 612.

Varje ingående fält ska visas tillsammans med följande uppgifter:

Fältets benämning (t.ex. ”Service type identifier”).

Fältets värde (t.ex. ”http://uri.etsi.org/TrstSvc/Svctype/CA/QC}”).

Betydelsen (beskrivning) av fältets värde, när detta är tillämpligt (t.ex. ”En tjänst för generering (skapande och undertecknande) av kvalificerade certifikat, på grundval av identiteten och andra attribut som verifierats av de relevanta registreringstjänsterna.”).

Flera versioner av naturligt språk såsom anges i förteckningen över betrodda tjänsteleverantörer, när detta är tillämpligt.

Åtminstone följande fält och motsvarande värden för de digitala certifikaten (5), om dessa finns i fältet ”Service digital identity”, ska visas i den människoläsbara förteckningen:

Version.

Certifikatets serienummer.

Signaturalgoritm.

Utfärdare – alla relevanta fält för distinkt namn.

Giltighetsperiod.

Subjekt – alla relevanta fält för distinkt namn.

Öppen nyckel.

Myndighet – nyckelidentifierare.

Subjekt – nyckelidentifierare.

Nyckelanvändning.

Utökad nyckelanvändning.

Certifikatpolicyer – alla policyidentifierare och policykvalificerare.

Policymappningar.

Subjekt – alternativt namn.

Subjekt – katalogattribut.

Basvillkor (basic constraints).

Policyvillkor (policy constraints).

Distributionspunkter för spärrlista (CRL distribution points) (6).

Myndighets åtkomst till information (authority information access).

Subjekts åtkomst till information (subject information access).

Förklaringar om kvalificerade certifikat (qualified certificate statements) (7).

Hashalgoritm.

Certifikatets hashvärde.

Den människoläsbara förteckningen ska lätt kunna skrivas ut.

Den människoläsbara förteckningen ska undertecknas eller stämplas av systemoperatören i enlighet med den avancerade underskrift för pdf som anges i artiklarna 1 och 3 i kommissionens genomförandebeslut (EU) 2015/1505.


(1)  Informationen i dessa punkter är av kritisk betydelse för att förlitande parter ska kunna bedöma kvaliteten och säkerhetsnivån på sådana system. Informationen i dessa punkter ska tillhandahållas i förteckningen via fälten ”Scheme information URI” (klausul 5.3.7 – information som tillhandahålls av medlemsstaten), ”Scheme type/community/rules” (klausul 5.3.9 – med en text som är gemensam för alla medlemsstater) och ”TSL policy/legal notice” (klausul 5.3.11 – en text som är gemensam för alla medlemsstater, tillsammans med en möjlighet för varje medlemsstat att lägga till medlemsstatsspecifika texter/hänvisningar). Ytterligare information om sådana system för icke-kvalificerade betrodda tjänster och nationellt definierade (kvalificerade) betrodda tjänster får, i förekommande fall och om så krävs, tillhandahållas på tjänstenivå (t.ex. för att skilja mellan flera kvalitets- eller säkerhetsnivåer) genom användning av fältet ”Scheme service definition URI” (klausul 5.5.6).

(2)  ISO 3166-1:2006: Beteckningar för namn på länder och deras indelningar – Del 1: Landskoder.

(3)  ISO 32000-1:2008: Document management – Portable document format – Part 1: PDF 1.7

(4)  ISO 19005-2:2011: Document management – Electronic document file format for long-term preservation – Part 2: Use of ISO 32000-1 (PDF/A-2)

(5)  Rekommendation ITU-T X.509 | ISO/IEC 9594-8: Information technology – Open systems interconnection – The Directory: Public-key and attribute certificate frameworks (se http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509)

(6)  RFC 5280: Internet X.509 PKI Certificate and CRL Profile.

(7)  RFC 3739: Internet X.509 PKI: Qualified Certificates Profile.


BILAGA II

MALL FÖR ANMÄLAN FRÅN MEDLEMSSTATER

Den information som medlemsstater ska anmäla i enlighet med artikel 4.1 i det föreliggande beslutet ska omfatta följande uppgifter och eventuella ändringar av dessa:

1.

Medlemsstat, med hjälp av tvåbokstavskoder enligt ISO 3166-1 (1), med följande undantag:

a)

Landskoden för Förenade kungariket ska vara ”UK”.

b)

Landskoden för Grekland ska vara ”EL”.

2.

Det eller de organ som ansvarar för att upprätta, underhålla och offentliggöra förteckningarna över betrodda tjänsteleverantörer i en form som är lämpad för automatiserad behandling och i människoläsbar form:

a)

Systemoperatörens namn: den information som lämnas måste vara identisk – stora och små bokstäver måste stämma – med värdet för ”Scheme operator name” i den föreliggande förteckningen över betrodda tjänsteleverantörer, på samtliga språk som används i förteckningen.

b)

Extra information endast för kommissionens interna bruk, i de fall där det berörda organet behöver kontaktas (denna information kommer inte att offentliggöras i kommissionens sammanställning med förteckningar över betrodda tjänsteleverantörer):

Systemoperatörens adress.

Kontaktuppgifter för en eller flera ansvariga personer (namn, telefon, e-postadress).

3.

Den plats där förteckningen över betrodda tjänsteleverantörer offentliggörs i en form som är lämpad för automatiserad behandling (plats där den nuvarande förteckningen över betrodda tjänsteleverantörer är offentliggjord).

4.

Den plats där, i förekommande fall, förteckningen över betrodda tjänsteleverantörer offentliggörs i människoläsbar form (plats där den nuvarande förteckningen över betrodda tjänsteleverantörer är offentliggjord). Om en människoläsbar förteckning över betrodda tjänsteleverantörer inte längre finns offentliggjord ska detta anges.

5.

De certifikat för öppna nycklar som motsvarar de privata nycklar som kan användas till att elektroniskt underteckna eller stämpla förteckningen över betrodda tjänsteleverantörer i en form som är lämpad för automatiserad behandling och i människoläsbar form. Dessa certifikat ska tillhandahållas som DER-certifikat, kodade enligt Privacy Enhanced Mail Base64. I fråga om en ändringsanmälan: extra information om ett nytt certifikat ska ersätta ett visst certifikat i kommissionens förteckning och om det anmälda certifikatet ska läggas till de befintliga utan att ersätta något av dessa.

6.

Datum för inlämnande av de uppgifter i punkterna 1–5 som anmäls.

Uppgifter som anmäls i enlighet med punkterna 1, 2 a, 3, 4 och 5 ska infogas i kommissionens sammanställning med förteckningar över betrodda tjänsteleverantörer och ersätta den tidigare anmälda informationen i denna sammanställning.


(1)  ISO 3166-1: Beteckningar för namn på länder och deras indelningar – Del 1: Landskoder.


9.9.2015   

SV

Europeiska unionens officiella tidning

L 235/37


KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2015/1506

av den 8 september 2015

om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artiklarna 27.5 och 37.5, och

av följande skäl:

(1)

Medlemsstaterna måste införa erforderliga tekniska medel som sätter dem i stånd att elektroniskt underteckna handlingar som krävs vid användning av nättjänster som erbjuds av offentliga organ eller på sådana organs vägnar.

(2)

Genom förordning (EU) nr 910/2014 åläggs medlemsstaterna att begära en avancerad elektronisk underskrift eller stämpel vid användning av nättjänster som erbjuds av offentliga organ eller på offentliga organs vägnar, att erkänna avancerade elektroniska underskrifter och stämplar, avancerade elektroniska underskrifter och stämplar som är baserade på ett kvalificerat certifikat och kvalificerade elektroniska underskrifter och stämplar i specifika format, eller alternativa format som kontrollerats i enlighet med specifika referensmetoder.

(3)

Vid definition av de specifika formaten och referensmetoderna bör befintlig praxis, befintliga standarder och EU-rättsakter beaktas.

(4)

I kommissionens genomförandebeslut 2014/148/EU (2) definieras ett antal av de vanligaste avancerade elektroniska underskriftsformaten som understöds tekniskt av medlemsstaterna, när avancerade elektroniska underskrifter krävs för ett administrativt online-förfarande. Referensformaten framtas i syfte att underlätta gränsöverskridande kontroll av elektroniska underskrifter och att förbättra gränsöverskridande interoperabilitet för elektroniska förfaranden.

(5)

De standarder som förtecknas i bilagan till detta beslut är de befintliga standarder som finns för format avseende avancerade elektroniska underskrifter. På grund av standardiseringsorganens pågående revidering av långvariga arkivformer för referensformaten, utesluts standarder med närmare uppgifter om långvarig arkivering från detta besluts tillämpningsområde. När den nya versionen av referensstandarderna finns tillgänglig kommer hänvisningarna till standarderna och klausuler om långvarig arkivering att revideras.

(6)

Avancerade elektroniska underskrifter och avancerade elektroniska stämplar liknar varandra ur teknisk synvinkel. Standarderna för formaten för avancerade elektroniska underskrifter bör efter nödvändig anpassning vara tillämpliga på formaten för avancerade elektroniska stämplar.

(7)

När andra format för elektroniska underskrifter eller stämplar än de som vanligen stöds tekniskt används som underskrift eller stämpel bör kontrollmedel tillhandahållas som möjliggör kontroll över gränserna av de elektroniska underskrifterna och stämplarna. För att mottagande medlemsstater ska kunna lita på en annan medlemsstats kontrollverktyg är det nödvändigt att tillhandahålla lätt tillgänglig information om dessa kontrollverktyg genom att medta information i de elektroniska dokumenten, i de elektroniska underskrifterna eller i de elektroniska dokumentbehållarna.

(8)

När möjligheter till validering av elektroniska underskrifter eller stämplar lämpliga för automatiserad behandling finns tillgängliga i en medlemsstats offentliga tjänster bör dessa valideringsmöjligheter göras tillgängliga för och tillhandahållas den mottagande medlemsstaten. Detta beslut bör likväl inte hindra tillämpningen av artikel 27.1 och 27.2 samt artikel 37.1 och 37.2 i förordning (EU) nr 910/2014 när automatiserad behandling av valideringsmöjligheterna för alternativa metoder inte är möjlig.

(9)

För att skapa jämförbara krav på validering och öka tilliten till de valideringsmöjligheter som tillhandahålls av medlemsstaterna för andra elektroniska underskrifts- och stämpelformat än de som vanligen stöds, bygger kraven som fastställs i detta beslut gällande kontrollverktyg på kraven på validering av kvalificerade elektroniska underskrifter och stämplar som avses i artiklarna 32 och 40 i förordning (EU) nr 910/2014.

(10)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Medlemsstater som begär en avancerad elektronisk underskrift eller en avancerad elektronisk underskrift som är baserad på ett kvalificerat certifikat enligt artikel 27.1 och 27.2 i förordning (EU) nr 910/2014 ska erkänna avancerade elektroniska underskrifter i formaten XML, CMS eller PDF på överensstämmelsenivå B, T eller LT eller använda en tillhörande underskriftsbehållare, när dessa underskrifter följer de tekniska specifikationerna i bilagan.

Artikel 2

1.   Medlemsstater som begär en avancerad elektronisk underskrift eller en avancerad elektronisk underskrift som är baserad på ett kvalificerat certifikat enligt artikel 27.1 och 27.2 i förordning (EU) nr 910/2014 ska erkänna andra format av elektroniska underskrifter än de som avses i artikel 1 i detta beslut, under förutsättning att den medlemsstat där tillhandahållaren av betrodda tjänster som användes av undertecknaren är etablerad, erbjuder andra medlemsstater möjligheter till validering av underskrift som är lämpad, när så är möjligt, för automatiserad behandling.

2.   Möjligheterna till validering av underskriften ska

a)

tillåta andra medlemsstater att validera de mottagna elektroniska underskrifterna online, kostnadsfritt och på ett sätt som är begripligt för personer som inte är infödda talare av språket i fråga,

b)

anges i det undertecknade dokumentet, i den elektroniska underskriften eller i den elektroniska dokumentbehållaren och

c)

bekräfta en avancerad elektronisk underskrifts giltighet under förutsättning att

1.

det certifikat som understöder den avancerade elektroniska underskriften var giltigt vid tidpunkten för undertecknandet och, när den avancerade elektroniska underskriften är understödd av ett kvalificerat certifikat, att det kvalificerade certifikatet som understöder den avancerade elektroniska underskiften vid tidpunkten för undertecknandet var ett kvalificerat certifikat för elektronisk underskrift som följde bilaga I i förordning (EU) nr 910/2014 och att det var utfärdat av en kvalificerad tillhandahållare av betrodda tjänster,

2.

valideringsuppgifterna för underskriften överensstämmer med de uppgifter som lämnats till den förlitande parten,

3.

den unika uppsättning uppgifter som avser undertecknaren har tillhandahållits den förlitande parten på rätt sätt,

4.

användningen av en eventuell pseudonym tydligt har angetts för den förlitande parten om en pseudonym användes vid tidpunkten för undertecknandet,

5.

när den avancerade elektroniska underskriften skapas av en anordning för skapande av sådana underskrifter, det tydligt anges för den förlitande parten att en sådan anordning har använts,

6.

integriteten hos de undertecknade uppgifterna inte har äventyrats,

7.

kraven i artikel 26 i förordning (EU) nr 910/2014 var uppfyllda vid tidpunkten för undertecknandet,

8.

det system som används för att validera den avancerade elektroniska underskriften ger den förlitande parten det korrekta resultatet av valideringsförfarandet och gör det möjligt för den förlitande parten att upptäcka eventuella problem som är relevanta för säkerheten.

Artikel 3

Medlemsstater som begär en avancerad elektronisk stämpel eller en avancerad elektronisk stämpel som är baserad på ett kvalificerat certifikat enligt artikel 37.1 och 37.2 i förordning (EU) nr 910/2014 ska erkänna avancerade elektroniska stämplar i formaten XML, CMS eller PDF på överensstämmelsenivå B, T eller LT eller använda en tillhörande stämpelbehållare, när dessa överensstämmer med de tekniska specifikationerna i bilagan.

Artikel 4

1.   Medlemsstater som begär en avancerad elektronisk stämpel eller en avancerad elektronisk stämpel som är baserad på ett kvalificerat certifikat enligt artikel 37.1 och 37.2 i förordning (EU) nr 910/2014 ska erkänna andra format av elektroniska stämplar än de som avses i artikel 3 i detta beslut, under förutsättning att den medlemsstat där tillhandahållaren av de betrodda tjänster som användes av skaparen av stämpeln är etablerad, erbjuder andra medlemsstater möjligheter till validering av stämplar som är lämpad, när så är möjligt, för automatiserad behandling.

2.   Möjligheterna till validering av stämpeln ska

a)

tillåta andra medlemsstater att kontrollera de mottagna elektroniska stämplarna online, kostnadsfritt och på ett sätt som är begripligt för personer som inte är infödda talare av språket i fråga,

b)

anges i den stämplade handlingen, i den elektroniska stämpeln eller i den elektroniska dokumentbehållaren,

c)

bekräfta en avancerad elektronisk stämpels giltighet under förutsättning att

1.

det certifikat som understöder den avancerade elektroniska stämpeln var giltigt vid tidpunkten för stämplingen och, när den avancerade elektroniska stämpeln är understödd av ett kvalificerat certifikat, att det kvalificerade certifikatet som understöder den avancerade elektroniska stämpeln vid tidpunkten för stämplingen var ett kvalificerat certifikat för elektronisk stämpel som följde bilaga III i förordning (EU) nr 910/2014 och att det var utfärdat av en kvalificerad tillhandahållare av betrodda tjänster,

2.

stämpelns valideringsuppgifter överensstämmer med de uppgifter som lämnats till den förlitande parten,

3.

den unika uppsättning uppgifter som avser stämpelns skapare har tillhandahållits den förlitande parten på rätt sätt,

4.

användningen av en eventuell pseudonym tydligt har angetts för den förlitande parten om en pseudonym användes vid tidpunkten för stämplandet,

5.

när den avancerade elektroniska stämpeln skapas av en anordning för skapande av kvalificerade elektroniska stämplar, det tydligt anges för den förlitande parten att en sådan anordning har använts,

6.

integriteten hos de stämplade uppgifterna inte har äventyrats,

7.

kraven i artikel 36 i förordning (EU) nr 910/2014 var uppfyllda vid tidpunkten för stämplingen,

8.

det system som används för att validera den avancerade elektroniska stämpeln ger den förlitande parten det korrekta resultatet av valideringsförfarandet och gör det möjligt för den förlitande parten att upptäcka eventuella problem som är relevanta för säkerheten.

Artikel 5

Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Detta beslut är till alla delar bindande och direkt tillämpligt i alla medlemsstater.

Utfärdat i Bryssel den 8 september 2015.

På kommissionens vägnar

Jean-Claude JUNCKER

Ordförande


(1)  EUT L 257, 28.8.2014, s. 73.

(2)  Kommissionens genomförandebeslut 2014/148/EU av den 17 mars 2014 om ändring av beslut 2011/130/EU om fastställande av minimikrav för behandling över gränserna av dokument som signerats elektroniskt av behöriga myndigheter i enlighet med Europaparlamentets och rådets direktiv 2006/123/EG om tjänster på den inre marknaden (EUT L 80, 19.3.2014, s. 7).


BILAGA

Förteckning över tekniska specifikationer för avancerade elektroniska underskrifter i formaten XML, CMS eller PDF med tillhörande underskriftsbehållare

De avancerade elektroniska underskrifter som nämns i artikel 1 i beslutet måste uppfylla en av följande tekniska specifikationer enligt Etsi-standard, med undantag av klausul 9:

Basprofil XAdES

Etsi TS 103171 v.2.1.1 (1)

Basprofil CAdES

Etsi TS 103173 v.2.2.1 (2)

Basprofil PAdES

Etsi TS 103172 v.2.2.2 (3)

Den tillhörande underskriftsbehållare som omnämns i artikel 1 i beslutet måste uppfylla nedanstående tekniska specifikation enligt Etsi-standard:

Basprofil för tillhörande underskriftsbehållare

Etsi TS 103174 v.2.2.1 (4)

Förteckning över tekniska specifikationer för avancerade elektroniska stämplar i formaten XML, CMS eller PDF med tillhörande stämpelbehållare

De avancerade elektroniska stämplar som nämns i artikel 3 i beslutet måste uppfylla en av följande tekniska specifikationer enligt Etsi-standard, med undantag för klausul 9:

Basprofil XAdES

Etsi TS 103171 v.2.1.1

Basprofil CAdES

Etsi TS 103173 v.2.2.1

Basprofil PAdES

Etsi TS 103172 v.2.2.2

Den tillhörande stämpelbehållaren som omnämns i artikel 3 i beslutet måste uppfylla nedanstående tekniska specifikation enligt Etsi-standard:

Basprofil för tillhörande stämpelbehållare

Etsi TS 103174 v.2.2.1


(1)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf

(2)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf

(3)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf

(4)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf


Rättelser

9.9.2015   

SV

Europeiska unionens officiella tidning

L 235/42


Rättelse till rådets direktiv 2000/79/EG av den 27 november 2000 om genomförande av det europeiska avtal om arbetstidens förläggning för flygpersonal inom civilflyget som har ingåtts mellan Association of European Airlines (AEA), Europeiska transportarbetarfederationen (ETF), European Cockpit Association (ECA), European Regions Airline Association (ERA) och International Air Carrier Association (IACA)

( Europeiska gemenskapernas officiella tidning L 302 av den 1 december 2000 )

På sidan 59, bilagan, artikel 4.1 a, ska det

i stället för:

”… hälsoundersökning före tjänstgöring och därefter …”

vara:

”… hälsoundersökning före anställning och därefter …”.

På sidan 59, bilagan, artikel 4.1 b, ska det

i stället för:

”… arbetar på natten skall så snart som möjligt överflyttas till …”

vara:

”… arbetar på natten skall när så är möjligt överflyttas till …”.

På sidan 59, bilagan, artikel 6, ska det

i stället för:

”… arbetstiden enligt ett visst schema beaktar den allmänna principen …”

vara:

”… arbetstiden enligt ett visst mönster beaktar den allmänna principen …”.

På sidan 59, bilagan, artikel 7, ska det

i stället för:

”… om särskilda arbetstider för flygpersonal inom civilflyget.”

vara:

”… om särskilda arbetstidsmönster för flygpersonal inom civilflyget.”.

På sidan 60, bilagan, artikel 8.2, ska det

i stället för:

”… årsarbetstiden inklusive vissa standby-perioder, vilka fastställs i gällande lag, …”

vara:

”… årsarbetstiden inklusive beredskapstjänst, vilken fastställs enligt gällande lag, …”.

På sidan 59, bilagan, artikel 9 första stycket, ska det

i stället för:

”… utan tjänstgöring och standby, vilka skall …”

vara:

”… utan tjänstgöring och beredskapstjänst, vilka skall …”.

På sidan 59, bilagan, artikel 9 a, ska det

i stället för:

”Minst 7 dagar på anställningsorten per kalendermånad, …”

vara:

”Minst 7 dagar på stationeringsorten per kalendermånad, …”.

På sidan 59, bilagan, artikel 9 b, ska det

i stället för:

”Minst 96 dagar på anställningsorten per kalenderår, …”

vara:

”Minst 96 dagar på stationeringsorten per kalenderår, …”.