32016D0650
Commission Implementing Decision (EU) 2016/650 of 25 April 2016 laying down standards for the security assessment of qualified signature and seal creation devices pursuant to Articles 30(3) and 39(2) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market
Framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2016/650 frá 25. apríl 2016 um staðla fyrir öryggismat fullgilds undirskriftar- og innsiglisbúnaðar skv. 3. mgr. 30. gr. og 2. mgr. 39. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum
-
Tillaga sem gæti verið EES-tæk
-
Gerð í skoðun hjá EES-EFTA ríkjunum
-
Drög að ákvörðun sameiginlegu nefndarinnar í skoðun
-
Ákvörðun sameiginlegu nefndarinnar samþykkt en hefur ekki öðlast gildi
-
Tekin upp í EES-samninginn og í gildi
-
Tekin upp í EES-samninginn en ekki lengur í gildi
Staða og svið tillögu/gerðar
| Staða tillögu/gerðar | ESB gerð sem hefur verið tekin upp í EES-samninginn og er í gildi |
|---|---|
| Svið (EES-samningur, viðauki) | 11 Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið, 11.04 Þjónusta tengd upplýsingasamfélaginu |
| Ákvörðun sameiginlegu nefndarinnar (JCD) | 167/2019 |
| Þennan dag skulu skilyrði uppfyllt á EES-svæðinu | |
| Staðfestur gildistökudagur | |
| Í gildi á EES-svæðinu | Já |
Almennar upplýsingar
Útdráttur
Í ákvæði 30 í reglugerð ESB nr. 910/2014 koma fram reglur um vottun fullgilds rafræns undirskriftarbúnaðar. Þar er kveðið á um ákveðið ferli og hvaða kröfur eigi að gera til búnaðarins. Skv. ákvæði 39(2) gildir ákvæði 30 að breyttu breytanda um rafrænan innsiglisbúnað. Ákvörðunin bætir við fleiri tegundum undirskrifta- og innsiglisbúnaða sem falla undir ákvæðin.
Ákvörðunin felur í sér að þegar undirskriftar - eða innsiglisbúnaður er stjórnað af traustþjónustuveitanda með þeim hætti að búnaðurinn fellur ekki undir viðauka II með reglugerð ESB nr. 910/2014 þá skal slíkur búnaður fara í gegnum ferli sem ákvæði 30(3)b gerir ráð fyrir og notast við öryggisstig sem kemur fram í ákvæði 30(3)a. Þetta þýðir að sömu kröfur eru gerðar og gilda um undirskriftar- og innsiglisbúnað og fellur undir viðauka II með reglugerðinni.
Ákvörðunin felur í sér að þegar undirskriftar - eða innsiglisbúnaður er stjórnað af traustþjónustuveitanda með þeim hætti að búnaðurinn fellur ekki undir viðauka II með reglugerð ESB nr. 910/2014 þá skal slíkur búnaður fara í gegnum ferli sem ákvæði 30(3)b gerir ráð fyrir og notast við öryggisstig sem kemur fram í ákvæði 30(3)a. Þetta þýðir að sömu kröfur eru gerðar og gilda um undirskriftar- og innsiglisbúnað og fellur undir viðauka II með reglugerðinni.
Nánari efnisumfjöllun
Ákvörðun 650/2016 (Commission implementing decision (EU) 2016/650) felur í sér tímabundna lausn á því að staðlar sem gilda um rafrænan undirskriftarbúnað skv. II viðauka reglugerðar 910/2014/ESB ná ekki yfir miðlægar rafrænan undirskriftarbúnað þar sem notandi treystir traustþjónustuveitanda fyrir stjórn undirskriftarumhverfis. Þessi ákvörðun vísar til staðla þar um og opnar fyrir notkun slíkra lausna og gildir líka um rafrænan innsiglisbúnað. Í aðfararorðum með reglugerð ESB nr. 910/2014 er að finna umfjöllun að því er varðar miðlægar rafrænar undirskriftir sem er skýrandi fyrir þetta:
52) The creation of remote electronic signatures, where the electronic signature creation environment is managed by a trust service provider on behalf of the signatory, is set to increase in the light of its multiple economic benefits. However, in order to ensure that such electronic signatures receive the same legal recognition as electronic signatures created in an entirely user-managed environment, remote electronic signature service providers should apply specific management and administrative security procedures and use trustworthy systems and products, including secure electronic communication channels, in order to guarantee that the electronic signature creation environment is reliable and is used under the sole control of the signatory. Where a qualified electronic signature has been created using a remote electronic signature creation device, the requirements applicable to qualified trust service providers set out in this Regulation should apply.
52) Gert er ráð fyrir að miðlægar rafrænar undirskriftir (e. remote electronic signatures), þar sem rafrænu undirskriftarumhverfi er stjórnað af traustþjónustuveitanda fyrir hönd undirritandans, aukist í ljósi margþætts efnahagslegs ávinnings af þeim. Til að tryggja að slíkar rafrænar undirskriftir njóti sömu lagalegrar viðurkenningar og rafrænar undirskriftir í umhverfi sem er að fullu stjórnað afnotandans, ættu þjónustuveitendur fyrir miðlægar rafrænar undirskriftir samt sem áður að beita sérstöku öryggisverklagi við stjórnun og stjórnsýslu og nota áreiðanleg kerfi og vörur, þ.m.t. öruggar rafrænar samskiptarásir, til að tryggja að rafrænt undirskriftarumhverfi sé áreiðanlegt og undirritandinn hafi einnstjórn á notkun þess. Þegar fullgild rafræn undirskrift hefur verið mynduðmeð miðlægum rafrænum undirskriftarbúnaði ættu kröfurnar, sem gilda um fullgilda traustþjónustuveitendur, sem settar eru fram í þessari reglugerð, að gilda.
52) The creation of remote electronic signatures, where the electronic signature creation environment is managed by a trust service provider on behalf of the signatory, is set to increase in the light of its multiple economic benefits. However, in order to ensure that such electronic signatures receive the same legal recognition as electronic signatures created in an entirely user-managed environment, remote electronic signature service providers should apply specific management and administrative security procedures and use trustworthy systems and products, including secure electronic communication channels, in order to guarantee that the electronic signature creation environment is reliable and is used under the sole control of the signatory. Where a qualified electronic signature has been created using a remote electronic signature creation device, the requirements applicable to qualified trust service providers set out in this Regulation should apply.
52) Gert er ráð fyrir að miðlægar rafrænar undirskriftir (e. remote electronic signatures), þar sem rafrænu undirskriftarumhverfi er stjórnað af traustþjónustuveitanda fyrir hönd undirritandans, aukist í ljósi margþætts efnahagslegs ávinnings af þeim. Til að tryggja að slíkar rafrænar undirskriftir njóti sömu lagalegrar viðurkenningar og rafrænar undirskriftir í umhverfi sem er að fullu stjórnað afnotandans, ættu þjónustuveitendur fyrir miðlægar rafrænar undirskriftir samt sem áður að beita sérstöku öryggisverklagi við stjórnun og stjórnsýslu og nota áreiðanleg kerfi og vörur, þ.m.t. öruggar rafrænar samskiptarásir, til að tryggja að rafrænt undirskriftarumhverfi sé áreiðanlegt og undirritandinn hafi einnstjórn á notkun þess. Þegar fullgild rafræn undirskrift hefur verið mynduðmeð miðlægum rafrænum undirskriftarbúnaði ættu kröfurnar, sem gilda um fullgilda traustþjónustuveitendur, sem settar eru fram í þessari reglugerð, að gilda.
Staða innan stjórnsýslunnar
| Stofnun hefur lokið yfirferð | Já |
|---|---|
| Þörf á aðlögun í ákvörðun sameiginlegu nefndarinnar | Ekki þörf á aðlögun |
| Fagráðuneyti hefur lokið vinnu við upplýsingablað og samþykkir drög að ákvörðun sameiginlegu nefndarinnar | Já |
| Utanríkisráðuneyti hefur veitt samþykki fyrir því að drög að ákvörðun sameiginlegu nefndarinnar séu send til ESB | Já |
| Sent til Alþingis |
Innleiðing
| Innleiðing | Lagasetning/lagabreyting |
|---|---|
| Tilgreinið hvaða lög eða reglugerð þarf að setja eða breyta | Setja þarf reglugerð á grundvelli laga sem innleiða reglugerð ESB nr. 910/2014 í íslenskan rétt (Fyrirhugað er að þau lög fari fyrir þingið haustið 2017) |
| Staða innleiðingarvinnu | Innleiðing í vinnslu |
Samráð
| Samráð | Nei |
|---|
Áhrif
| Áætlaður kostnaður hins opinbera | Ekki vitað |
|---|
Ábyrgðaraðilar
| Ábyrgt ráðuneyti | Háskóla-, iðnaðar- og nýsköpunarráðuneytið |
|---|---|
| Önnur ráðuneyti sem hafa aðkomu | Háskóla-, iðnaðar- og nýsköpunarráðuneytið |
| Aðrar stofnanir sem hafa aðkomu | Neytendastofa |
Samþykktar gerðir birtar í Stjórnartíðindum ESB
| CELEX-númer | 32016D0650 |
|---|---|
| Þennan dag skulu skilyrði uppfyllt í ESB | |
| Samþykkt tilvísun í Stjórnartíðindi ESB | OJ L 109, 26.4.2016, p. 40 |
| Þennan dag skulu skilyrði uppfyllt í ESB |
Vinnslustig (pipeline stage)
| Samþykktardagur i ESB |
|---|
Ákvörðun sameiginlegu nefndarinnar
| Sendingardagur EFTA á drögum að ákvörðun sameiginlegu nefndarinnar til framkvæmdastjórnarinnar | |
|---|---|
| Staðfestur gildistökudagur | |
| Tilvísun í EES-viðbæti | EEA Supplement No 74, 10.11.2022, p. 57 |
| Tilvísun í stjórnartíðindi ESB | OJ L 291, 10.11.2022, p. 54 |