Aðrar útgáfur af skjalinu: PDF - Word Perfect. Ferill 350. máls.
Þingskjal 426 — 350. mál.
Alþingi ályktar að heimila ríkisstjórninni að staðfesta fyrir Íslands hönd ákvörðun sameiginlegu EES-nefndarinnar nr. 97/2011, frá 30. september 2011, um breytingu á X. viðauka (Almenn þjónusta) við EES-samninginn frá 2. maí 1992, og fella inn í samninginn ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 um breytingu á ákvörðun 2009/767/EB að því er varðar að semja, viðhalda og birta áreiðanlegar skrár um þá vottunaraðila sem aðildarríkin hafa eftirlit með eða veita faggildingu.
1. Inngangur.
Með þingsályktunartillögu þessari er leitað heimildar Alþingis til staðfestingar á ákvörðun sameiginlegu EES-nefndarinnar nr. 97/2011, frá 30. september 2011, um breytingu á X. viðauka (Almenn þjónusta) við EES-samninginn frá 2. maí 1992, og til að fella inn í samninginn ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 um breytingu á ákvörðun 2009/767/EB að því er varðar að semja, viðhalda og birta áreiðanlegar skrár um þá vottunaraðila sem aðildarríkin hafa eftirlit með eða veita faggildingu.
Í ákvörðun framkvæmdastjórnarinnar 2009/767/EB var kveðið á um að ríki Evrópusambandsins skyldu setja upp, viðhalda og birta svokallaðan traustlista (e. trusted list) við notkun rafrænna undirskrifta í tengslum við þjónustutilskipunina svokölluðu, þar sem fram kæmu upplýsingar um vottunaraðila er gefa út rafrænar undirskriftir. Slíkur listi skyldi vera „mannlæs“ (e. human readable). Í ákvörðun 2010/425/EB er hins vegar gerð sú breyting að auk slíks „mannlæss“ traustlista, skulu ríkin setja upp, viðhalda og birta „véllæsan“ (e. machine processable) traustlista.
Í tillögu þessari er gerð grein fyrir efni gerðarinnar sem hér um ræðir, en hún felur ekki í sér breytingar á þeim meginreglum sem í EES-samningnum felast. Ákvörðun sameiginlegu EES-nefndarinnar sem hér um ræðir er prentuð sem fylgiskjal með tillögu þessari ásamt gerðinni sjálfri.
2. Um stjórnskipulegan fyrirvara.
Samkvæmt EES-samningnum skuldbinda ákvarðanir sameiginlegu EES-nefndarinnar aðildarríkin að þjóðarétti um leið og þær hafa verið teknar, nema eitthvert þeirra beiti heimild skv. 103. gr. EES-samningsins til að setja fyrirvara um að ákvörðun geti ekki orðið bindandi strax vegna stjórnskipulegra skilyrða heima fyrir. Viðkomandi aðildarríki hefur þá sex mánaða frest frá töku ákvörðunar í sameiginlegu nefndinni til að aflétta fyrirvaranum.
Að því er Ísland varðar hefur stjórnskipulegur fyrirvari almennt einungis verið settur þegar innleiðing ákvörðunar kallar á lagabreytingar hér landi, en í því tilviki leiðir af 21. gr. stjórnarskrárinnar að afla ber samþykkis Alþingis áður en ákvörðun er staðfest. Slíkt samþykki getur Alþingi alltaf veitt samhliða viðeigandi lagabreytingu, en einnig hefur tíðkast að heimila stjórnvöldum að skuldbinda sig að þjóðarétti með þingsályktun áður en landsréttinum er með lögum breytt til samræmis við viðkomandi ákvörðun.
Áðurnefnd 21. gr. stjórnarskrárinnar tekur til gerðar þjóðréttarsamninga en hún á augljóslega einnig við um þau tilvik þegar breytingar eru gerðar á slíkum samningum. Samkvæmt ákvæðinu er samþykki Alþingis áskilið ef samningur felur í sér afsal eða kvaðir á landi eða landhelgi eða ef hann horfir til breytinga á stjórnarhögum ríkisins. Síðarnefnda atriðið hefur verið túlkað svo að samþykki Alþingis sé áskilið ef gerð þjóðréttarsamnings kallar á lagabreytingar hér á landi.
Umrædd ákvörðun sameiginlegu EES-nefndarinnar felur í sér breytingu á EES-samningnum en þar sem hún kallar á lagabreytingar hér á landi var hún tekin með stjórnskipulegum fyrirvara. Í samræmi við það sem að framan segir er óskað eftir samþykki Alþingis fyrir þeirri breytingu á EES-samningnum sem í ákvörðuninni felst.
3. Ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 um breytingu á ákvörðun 2009/767/EB að því er varðar að semja, viðhalda og birta áreiðanlegar skrár um þá vottunaraðila sem aðildarríkin hafa eftirlit með eða veita faggildingu.
Með lögum nr. 76/2011, um þjónustuviðskipti á innri markaði Evrópska efnahagssvæðisins, var tilskipun 2006/123/EB um þjónustuviðskipti á innri markaðnum (þjónustutilskipunin) innleidd í íslenskan rétt. Í lögunum er kveðið á um að þjónustuveitendur eigi að geta sótt rafrænt um leyfi til að stunda starfsemi sína.
Í ákvörðun framkvæmdastjórnarinnar 2009/767/EB frá 16. október 2009 var fjallað um notkun rafrænna undirskrifta í tengslum við þjónustutilskipunina. Í ákveðnum tilfellum er leyfisveitanda heimilt að krefjast þess að þjónustuveitandi noti rafræna undirskrift til að auðkenna sig er hann sækir um leyfi til að veita þjónustu í gegnum upplýsinga- og þjónustuveituna sem kveðið er á um í þjónustutilskipuninni. Aðildarríkin skulu setja upp, viðhalda og birta traustlista þar sem fram komi upplýsingar um vottunaraðila er gefa út rafrænar undirskriftir. Aðildarríki skulu tilkynna framkvæmdastjórninni hver sjái um að setja upp og viðhalda traustlistanum.
Í fyrrgreindri ákvörðun 2009/767/EB var eingöngu kveðið á um að ríkin þyrftu að koma upp og starfrækja „mannlæsa“ (e. human readable) traustlista. Með ákvörðun 2010/425/ESB er hins vegar gerð sú breyting að kveðið er á um að ríkin þurfi, auk „mannlæss“ traustlista, að setja upp og starfrækja „véllæsan“ (e. machine processable) traustlista.
4. Lagabreytingar og hugsanleg áhrif hér á landi.
Innleiðing ákvörðunar 2010/425/ESB kallar á smávægilegar breytingar á lögum nr. 28/2001, um rafrænar undirskriftir, þar sem kveðið verður á um traustlistann og utanumhald hans. Efnahags- og viðskiptaráðherra hyggst leggja fram lagafrumvarp á yfirstandandi löggjafarþingi til innleiðingar á ákvæðum hennar. Hvorki er gert ráð fyrir að þær lagabreytingar muni hafa í för með sér umtalsverðan kostnað né stjórnsýslulegar afleiðingar hér á landi. Gert er ráð fyrir að Neytendastofa annist uppsetningu og viðhald traustlistans. Fylgiskjal I.
SAMEIGINLEGA EES-NEFNDIN HEFUR TEKIÐ NEÐANGREINDA ÁKVÖRÐUN
með vísan til samningsins um Evrópska efnahagssvæðið, með áorðnum breytingum samkvæmt bókun um breytingu á samningnum um Evrópska efnahagssvæðið, er nefnist „samningurinn“ í því sem hér fer á eftir, einkum ákvæða 98. gr.,
og að teknu tilliti til eftirfarandi:
1) X. viðauka við samninginn var breytt með ákvörðun sameiginlegu EES-nefndarinnar nr. 102/2010 frá 1. október 2010 ( 1 ).
2) Fella ber inn í samninginn ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 um breytingu á ákvörðun 2009/767/EB að því er varðar að semja, viðhalda og birta áreiðanlegar skrár um þá vottunaraðila sem aðildarríkin hafa eftirlit með eða veita faggildingu ( 2 ).
ÁKVÖRÐUNIN ER SVOHLJÓÐANDI:
Eftirfarandi bætist við í lið 1b (ákvörðun framkvæmdastjórnarinnar 2009/767/EB) í X. viðauka við samninginn:
„eins og henni var breytt með:
– 32010 D 0425: Ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 (Stjtíð. ESB L 199, 31.7.2010, bls. 30).“
Íslenskur og norskur texti ákvörðunar 2010/425/ESB, sem verður birtur í EES-viðbæti við Stjórnartíðindi Evrópusambandsins, telst fullgiltur.
Ákvörðun þessi öðlast gildi 1. október 2011, að því tilskildu að allar tilkynningar samkvæmt 1. mgr. 103. gr. samningsins hafi borist sameiginlegu EES-nefndinni ( * ).
Ákvörðun þessi skal birt í EES-deild Stjórnartíðinda Evrópusambandsins og EES-viðbæti við þau.
Fylgiskjal II.
með hliðsjón af sáttmálanum um starfshætti Evrópusambandsins,
með hliðsjón af tilskipun Evrópuþingsins og ráðsins 2006/123/EB frá 12. desember 2006 um þjónustu á innri markaðnum ( 1 ), einkum 3. mgr. 8. gr.,
og að teknu tilliti til eftirfarandi:
1) Notkun yfir landamæri á þróuðum, rafrænum undirskriftum, sem byggjast á viðurkenndu skilríki og eru gerðar með eða án öruggs undirskriftarbúnaðar hefur verið auðvelduð með ákvörðun framkvæmdastjórnarinnar 2009/767/ EB frá 16. október 2009 þar sem settar eru fram ráðstafanir sem greiða fyrir notkun rafrænnar málsmeðferðar með upplýsinga- og þjónustumiðstöðvum samkvæmt tilskipun Evrópuþingsins og ráðsins 2006/123/EB um þjónustu á innri markaðnum ( 2 ) sem skyldar aðildarríkin til að gera upplýsingar, sem eru nauðsynlegar til að fullgilda rafrænu undirskriftirnar, aðgengilegar. Einkum verða aðildarríki að gera aðgengilegar í svokölluðum „áreiðanlegum skrám“ sínum upplýsingar um vottunaraðila sem gefa út viðurkennd skilríki til handa almenningi í samræmi við tilskipun Evrópuþingsins og ráðsins 1999/93/EB frá 13. desember 1999 um ramma Bandalagsins varðandi rafrænar undirskriftir ( 3 ) og sem þau hafa eftirlit með/veita faggildingu og um þá þjónustu sem þeir veita.
2) Nokkrar raunhæfar prófanir hafa verið skipulagðar hjá Fjarskiptastaðlastofnun Evrópu til að gera aðildarríkjum kleift að hafa eftirlit með því að áreiðanlegu skrárnar þeirra samrýmist forskriftunum, sem settar eru fram í viðaukanum við ákvörðun 2009/767/EB. Þessar prófanir hafa sýnt fram á að tilteknar tæknilegar breytingar á tækniforskriftunum í viðaukanum við ákvörðun 2009/767/EB eru nauðsynlegar til að tryggja að áreiðanlegu skrárnar séu virkar og rekstrarsamhæfðar.
3) Þessar prófanir staðfestu einnig nauðsyn þess að aðildarríki geri aðgengilegar öllum, ekki einungis þær útgáfur áreiðanlegu skránna sem eru læsilegar mönnum, eins og krafist er í ákvörðun 2009/767/EB, heldur einnig tölvutækar útgáfur þeirra. Handvirk notkun áreiðanlegu skránna sem eru læsilegar mönnum getur verið tiltölulega flókin og tímafrek ef margir vottunaraðilar eru til staðar í aðildarríkjum. Birting tölvutækrar útgáfu af áreiðanlegu skránum mun auðvelda notkun þeirra með því að gera sjálfvirka vinnslu þeirra mögulega og auka þar með notkun þeirra í almennri, rafrænni þjónustu.
4) Til að auðvelda aðgang að landsbundnum, áreiðanlegum skrám skulu aðildarríkin veita framkvæmdastjórninni upplýsingar í tengslum við staðsetningu og vernd áreiðanlegu skránna sinna. Framkvæmdastjórnin skal gera öðrum aðildarríkjum þessar upplýsingar aðgengilegar með öruggum hætti.
5) Taka skal tillit til þessara raunhæfu prófana á áreiðanlegum skrám aðildarríkja í því skyni að gera sjálfvirka notkun þessara skráa mögulega og til að auðvelda aðgang að þeim.
6) Því ber að breyta ákvörðun 2009/767/EB til samræmis við það.
7) Til að gera aðildarríkjunum kleift að gera nauðsynlegar, tæknilegar breytingar á núverandi, áreiðanlegum skrám sínum er rétt að þessi ákvörðun gildi frá og með 1. desember 2010.
8) Ráðstafanirnar, sem kveðið er á um í þessari ákvörðun, eru í samræmi við álit nefndarinnar um þjónustutilskipunina.
SAMÞYKKT ÁKVÖRÐUN ÞESSA:
1. Ákvæðum 2. gr. er breytt sem hér segir:
a) í stað 2. mgr. komi eftirfarandi:
„2. Aðildarríki skulu semja og birta bæði útgáfu af áreiðanlegu skránni, sem er læsileg mönnum, og tölvutæka útgáfu hennar, í samræmi við forskriftirnar sem settar eru fram í viðaukanum.“,
b) Eftirfarandi 2. mgr. a bætist við:
„2a. Aðildarríkin skulu undirrita rafrænt tölvutækar útgáfur af áreiðanlegum skrám sínum og skulu a.m.k. birta útgáfu áreiðanlegu skrárinnar, sem er læsileg mönnum, um örugga tengingu til að tryggja sannvottaðan uppruna hennar og heilleika.“,
c) Í stað 3. mgr. komi eftirfarandi:
„3. Aðildarríkin skulu veita framkvæmdastjórninni upplýsingar um eftirfarandi:
a) þann eða þá aðila sem bera ábyrgð á því að semja, viðhalda og birta áreiðanlegu skrána sem er læsileg mönnum og tölvutæka útgáfu hennar,
b) þá staði þar sem útgáfa áreiðanlegu skrárinnar, sem er læsileg mönnum, og tölvutæka útgáfa hennar eru birtar,
c) skilríkið með dreifilyklinum, sem notað er til að koma á öruggri tengingu til að birta útgáfu áreiðanlegu skrárinnar sem er læsileg mönnum, eða ef skráin, sem er læsileg mönnum, er undirrituð rafrænt, skilríkið með dreifilyklinum sem notað var til að undirrita hana,
d) skilríkið með dreifilyklinum sem notað var til að undirrita rafrænt tölvutæku útgáfuna af áreiðanlegu skránni,
e) allar breytingar á upplýsingunum í a- til d- lið.“,
d) Eftirfarandi 4. mgr. bætist við:
„4. Framkvæmdastjórnin skal gera upplýsingarnar,sem um getur í 3. mgr. og aðildarríkin hafa veitt, aðgengilegar öllum hinum aðildarríkjunum um örugga tengingu við sannvottaðan vefþjón, eins og aðildarríkin hafa veitt þær bæði í þeirri útgáfu sem er læsileg mönnum og undirritaða, tölvutæka útgáfu.“,
2. Viðaukanum er breytt eins og fram kemur í viðaukanum við þessa ákvörðun.
Gjört í Brussel 28. júlí 2010.
1. Ákvæðum I. KAFLA er breytt sem hér segir:
a) í stað fyrsta og annars málsliðar í fimmtu málsgrein komi eftirfarandi:
„Núverandi forskriftir byggjast á forskriftunum og kröfunum sem tilgreindar eru í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu (ETSI TS) 102 231 v.3.1.2. Ef engar sértækar kröfur eru tilgreindar í núverandi forskriftum SKULU kröfurnar í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu (ETSI TS) 102 231 v.3.1.2. gilda í heild sinni.“,
b) önnur málsgrein í liðnum „TSL tag (liður 5.2.1)“ falli brott,
c) í stað málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „TSL sequence number (liður 5.3.2)“ komi eftirfarandi:
„Þetta svæði er SKYLDUBUNDIÐ. Þar SKAL tilgreina raðnúmer stöðuskrár áreiðanlegu þjónustunnar (TSL). Það byrjar á „1“ við fyrstu TSL-útgáfuna, þetta heiltölugildi SKAL hækka við hverja síðari TSL-útgáfu. Það SKAL EKKI stillt aftur á „1“ þegar framangreint auðkenni TSL-útgáfu „TSL version identifier“ hækkar.“,
d) í stað fyrstu málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „TSL type (liður 5.3.3)“ komi eftirfarandi:
„Þetta svæði er SKYLDUBUNDIÐ og þar er TSL-tegund tilgreind. Það SKAL stillt á uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic (Generic).“,
e) í stað þriðju málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „TSL type (liður 5.3.3)“ komi eftirfarandi:
„URI: (Generic) uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic“,
f) í stað annars málsliðar í annarri málsgrein sem kemur á eftir fyrirsögn liðarins „Scheme operator name (liður 5.3.4)“ komi eftirfarandi:
„Það er á ábyrgð hvers aðildarríkis að tilnefna rekstraraðila kerfisins (Scheme operator) fyrir TLS- framkvæmd áreiðanlegrar skrár aðildarríkisins.“,
g) í stað fjórðu málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „Scheme operator name (liður 5.3.4)“ komi eftirfarandi:
„rekstraraðili kerfisins (Scheme Operator“ (liður 5.3.4) sem nefndur er, er aðilinn sem mun undirrita TSL.“,
h) í stað fjórða undirliðar sem kemur á eftir fyrirsögn liðarins „Scheme name (liður 5.3.6)“ komi eftirfarandi:
„ „EN_name_value“ = skrá yfir eftirlits- eða faggildingarstöðu vottunarþjónustu frá vottunaraðila sem aðildarríkin, sem tilgreind eru, hafa eftirlit með eða veita faggildingu, með tilliti til þess að farið sé að viðeigandi ákvæðum, sem mælt er fyrir um í tilskipun 1999/93/EB, og framkvæmd hennar á lögum aðildarríkis sem vísað er til.“,
i) í stað fyrstu málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „Service type identifier (liður 5.5.1)“ komi eftirfarandi:
„Þetta svæði er SKYLDUBUNDIÐ og þar SKAL tilgreina auðkenni tegundar þjónustunnar samkvæmt tegund núverandi TSL-forskrifta (t.d. „/eSigDir-1999-93-EC-TrustedList/TSLType/generic“).“,
j) í stað fimmta undirliðar sem kemur á eftir fyrirsögn liðarins „Service current status (liður 5.5.4)“ komi eftirfarandi:
„— Faggilt (http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/Svcstatus/accredited),“,
k) í stað níunda undirliðar, sem kemur á eftir fyrirsögn liðarins „Service current status (liður 5.5.4)“, komi eftirfarandi:
„— Eftirlit með þjónustu sem er í stöðvun: Þjónustan sem er tilgreind í „Service digital identity“ (liður 5.5.3.) og vottunaraðili, sem tilgreindur er í „TSP name“, (liður 5.4.1) veitir, er eins og er á stöðvunarstigi en sætir enn eftirliti þar til eftirliti verður hætt eða afturkallað. Ef annar lögaðili en sá sem er tilgreindur í „TSP name“ hefur tekið yfir þá ábyrgð að sjá um stöðvunarstigið, SKAL auðkenni þessa nýja lögaðila eða lögaðila til vara (varavottunaraðili) gefið upp í „Scheme service definition URI“ (liður 5.5.6) og í „TakenOverBy“ viðbótinni (liður L.2.3) við færsluna fyrir þjónustuna.“,
l) í stað fimmtu málsgreinar sem kemur á eftir fyrirsögn liðarins „Service information extensions (liður 5.5.9)“ komi eftirfarandi:
„Með tilliti til XML- framkvæmdar skal kóða sérstakt inntak slíkra viðbótarupplýsinga með xsd- skránum sem tilgreindar eru í viðauka C við tækniforskriftir Fjarskiptastaðlastofnunar Evrópu 102 231.“,
m) í stað liðarins sem ber fyrirsögnina „Service digital identity (liður 5.6.3)“ komi eftirfarandi:
„Service digital identity (ákvæði 5.6.3)
Þetta svæði er SKYLDUBUNDIÐ og þar SKAL tilgreina a.m.k. eina framsetningu á stafræna auðkenninu (t.d. X.509v3- skilríki) sem notað er í „TSP Service Information — Service digital identity“ (liður 5.5.3) á því sniði og í þeirri merkingu sem skilgreind er í tækniforskrift Fjarskiptastaðlastofnunar Evrópu 102 231, liður 5.5.3.
Athugasemd: Fyrir X.509v3 gildi skilríkis sem notað er í „Sdi“ lið 5.5.3 í þjónustu skal einungis vera ein þjónustufærsla í áreiðanlegri skrá fyrir hvert „Sti:Sie/additionalServiceInformation“-gildi. „Sdi“ (liður 5.6.3) upplýsingarnar sem notaðar eru í upplýsingunum um sögu samþykkis þjónustunnar sem tengd er við þjónustufærsluna og „Sdi“ (liður 5.5.3) upplýsingarnar sem notaðar eru í þessari þjónustufærslu VERÐA að eiga við um sama X.509v3-gildi skírteinisins. Ef skráð þjónusta breytir um „Sdi“ (t.d. endurnýjun eða endurlyklun X.509v3-skilríkis fyrir t.d. CA/PKC eða CA/QC) eða búið er til nýtt „Sdi“ fyrir slíka þjónustu, jafnvel með eins gildum fyrir tengd „Sti“, „Sn“, og [„Sie“], þýðir það að rekstraraðili kerfisins VERÐUR að búa til aðra þjónustufærslu en þá sem fyrir er.“,
n) í stað liðarins sem ber heitið „Signed TSL“ komi eftirfarandi:
„Signed TSL
Framkvæmd TSL fyrir áreiðanlegu skrána sem er læsileg mönnum og samin samkvæmt núverandi forskriftum, einkum IV. KAFLA, SKAL undirrituð með heiti rekstraraðila kerfisins „Scheme operator name“ (ákvæði 5.3.4) til að tryggja sannvottaðan uppruna og heilleika hennar (*). Snið undirskriftarinnar SKAL vera PAdES 3. hluti (ETSI TS 102 778-3 (**)) en MÁ vera PAdES 2. hluti (ETSI TS 102 778-2 (***) með tilliti til hins sértæka áeiðanlega fyrirkomulags sem komið hefur verið á með birtingu skilríkjanna sem notuð eru til að undirrita áreiðanlegu skrárnar.
Tölvutæk TSL-framkvæmd fyrir áreiðanlegu skrána, sem samin er samkvæmt núverandi forskriftum, SKAL undirrituð með heiti rekstraraðila kerfisins „Scheme operator name“ (liður 5.3.4) til að tryggja sannvottaðan uppruna og heilleika hennar. Tölvutæk TSL-framkvæmd fyrir áreiðanlegu skrána, sem samin er samkvæmt núverandi forskriftum, SKAL vera á XML-sniði og SKAL uppfylla forskriftirnar sem tilgreindar eru í viðaukum B og C í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu 102 231.
Snið undirskriftarinnar SKAL vera XAdES BES eða EPES eins og skilgreint er í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu 101 903, forskriftum um XML framkvæmd. Slík framkvæmd rafrænnar undirskriftar SKAL uppfylla kröfurnar sem tilgreindar eru í viðauka B við tækniforskriftir Fjarskiptastaðlastofnunar Evrópu 102 231 (****). Almennar kröfur til viðbótar að því er varðar þessa undirskrift eru tilgreindar í eftirfarandi liðum.
(*) Ef TSL-framkvæmd áreiðanlegu skrárinnar, sem er læsileg mönnum, er ekki undirrituð VERÐUR að tryggja sannvottaðan uppruna og heilleika hennar með viðeigandi samskiptaleið með sambærilegu öryggi. Notkun flutningslagsöryggis (IETF RFC 5246: mælt er með „Flutningslagsöryggi (TLS) útgáfa 1.2 af samskiptareglum)“ í þessu skyni og aðildarríkið VERÐUR að gera fingrafar af skilríkinu í rás flutningslagsöryggis tiltæka utan tíðni til TSL-notenda.
(**) ETSI TS 102 778-3 — Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced — PAdES-BES and PAdES-EPES Profiles.
(***) ETSI TS 102 778-2 — Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic — Lýsingin byggir á ISO-staðli 32000-1.
(****) Skyldubundið er að verja rekstraraðila kerfisins sem undirritar skilríkin með undirskriftinni á einhvern þann hátt sem tilgreindur er í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu 101 903 og ds:keyInfo skal innihalda viðkomandi skilríkjakeðju, eftir því sem við á.“,
o) í stað annarrar málsgreinar sem kemur á eftir fyrirsögn liðarins „Scheme identification (liður 5.7.2)“ komi eftirfarandi:
„Að því er varðar núverandi forskriftir SKAL í úthlutuðu tilvísuninni vera „TSL type“ (liður 5.3.3), „Scheme name“ (liður 5.3.6) og gildið fyrir SubjectKeyIdentifier- viðskeyti skilríkisins sem rekstraraðili kerfisins notar til að undirrita TSL rafrænt.“,
p) í stað annarrar málsgreinar, sem kemur á eftir fyrirsögn liðarins „additionalServiceInformation Extension (liður 5.8.2)“, komi eftirfarandi:
„Þegar tilvísanir eru teknar úr vefföngum SKULU verða til upplýsingar sem eru læsilegar mönnum (a.m.k. á ensku og mögulega á einni eða fleiri þjóðtungum) sem teljast viðeigandi og fullnægjandi fyrir aðila sem reiðir sig á upplýsingarnar þannig að hann skilji viðskeytin, einkum til að útskýra þau vefföng sem gefin eru upp og tilgreina hugsanleg gildi fyrir serviceInformation og merkingu hvers gildis.“,
q) í stað liðarins sem ber heitið „Qualifications Extension (liður L.3.1)“ komi eftirfarandi:
„Qualifications Extension (ákvæði L.3.1)
Lýsing: Þetta svæði er VALKVÆTT en SKAL vera til staðar ef notkun þess er SKYLDUBUNDIN, t.d. fyrir RootCA/QC eða CA/QC þjónustu, og þegar
— upplýsingarnar, sem veittar eru í „Service digital identity“, eru ekki fullnægjandi til að bera kennsl með ótvíræðum hætti á viðurkennd skilríki sem þessi þjónusta gefur út,
— upplýsingarnar, sem eru til staðar í tengdum viðurkenndum skilríkjum, gera ekki kleift að auðkenna með tölvutækum hætti þá staðreynd hvort viðurkennda skilríkið er stutt af öruggum undirskriftarbúnaði (SSCD).
Þegar það er notað VERÐUR þetta viðskeyti þjónustustigsins einungis notað í svæðinu sem skilgreint er í „Service information extension“ (liður 5.5.9) og SKAL uppfylla forskriftirnar sem mælt er fyrir um í viðauka L.3.1 við tækniforskriftir Fjarskiptastaðlastofnunar Evrópu 102 231.“,
r) á eftir liðnum „Qualifications Extension (liður L.3.1)“, er liðnum TakenOverBy Extension (liður L.3.2) bætt við sem hér segir:
„TakenOverBy Extension (liður L.3.2)
Lýsing: Þetta viðskeyti er VALKVÆTT en SKAL vera til staðar ef þjónusta, sem áður var á lagalegri ábyrgð vottunaraðila, hefur verið tekin yfir af öðrum aðila sem veitir áreiðanleg þjónustu (TSP) og er ætlað að tilgreina með formlegum hætti lagalega ábyrgð þjónustu og gera vottunarhugbúnaðinum kleift að birta notandanum einhverjar lagalegar upplýsingar. Upplýsingarnar, sem veittar eru í þessu viðskeyti, SKULU vera í samræmi við tengda notkun liðar 5.5.6 og SKULU uppfylla forskriftirnar í viðauka L.3.2 í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu 102 231.“,
2. Í stað II. KAFLA komi eftirfarandi:
„II. KAFLI
Þegar aðildarríkin semja áreiðanlegar skrár sínar skulu þau nota:
Tungumálakóða með lágstöfum og landskóða með hástöfum,
tungumála- og landskóða samkvæmt töflunni hér á eftir:
Ef latneskt letur er fyrir hendi (ásamt réttum tungumálakóða) skal bæta við umritun á latnesku letri ásamt tengda tungumálakóðanum sem tilgreindur er í töflunni hér á eftir:
3.
III. KAFLI fellur brott.
4. í IV. KAFLA bætist eftirandi undirliður við á eftir inngangsorðunum „Inntak TSL-framkvæmdar á áreiðanlegu skránni sem er læsileg mönnum og á PDF/A-sniði SKAL uppfylla eftirfarandi kröfur:“:
„— Fyrirsögn útgáfu áreiðanlegu skrárinnar sem er læsileg mönnum skal samanstanda af samtengingu eftirfarandi þátta:
— valkvæðri mynd af þjóðfána aðildarríkisins,
— stafbili,
— stuttheiti landsins á frummáli(-um) (eins og það er gefið upp/þau eru gefin upp í fyrsta dálknum í töflunni í II. KAFLA),
— stafbili,
— „(“,
— stuttheiti landsins á ensku innan gæsalappa (eins og það er gefið upp í fyrsta dálknum í töflunni í II. KAFLA),
— „):“ sem lokandi gæsalappir og afmarkari,
— stafbili,
— „áreiðanlegri skrá“,
— valkvæðri mynd af þjóðfána aðildarríkisins.“
Þingskjal 426 — 350. mál.
Tillaga til þingsályktunar
um staðfestingu ákvörðunar sameiginlegu EES-nefndarinnar nr. 97/2011 um breytingu á X. viðauka (Almenn þjónusta) við EES-samninginn.
(Lögð fyrir Alþingi á 140. löggjafarþingi 2011–2012.)
Alþingi ályktar að heimila ríkisstjórninni að staðfesta fyrir Íslands hönd ákvörðun sameiginlegu EES-nefndarinnar nr. 97/2011, frá 30. september 2011, um breytingu á X. viðauka (Almenn þjónusta) við EES-samninginn frá 2. maí 1992, og fella inn í samninginn ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 um breytingu á ákvörðun 2009/767/EB að því er varðar að semja, viðhalda og birta áreiðanlegar skrár um þá vottunaraðila sem aðildarríkin hafa eftirlit með eða veita faggildingu.
Athugasemdir við þingsályktunartillögu þessa.
1. Inngangur.
Með þingsályktunartillögu þessari er leitað heimildar Alþingis til staðfestingar á ákvörðun sameiginlegu EES-nefndarinnar nr. 97/2011, frá 30. september 2011, um breytingu á X. viðauka (Almenn þjónusta) við EES-samninginn frá 2. maí 1992, og til að fella inn í samninginn ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 um breytingu á ákvörðun 2009/767/EB að því er varðar að semja, viðhalda og birta áreiðanlegar skrár um þá vottunaraðila sem aðildarríkin hafa eftirlit með eða veita faggildingu.
Í ákvörðun framkvæmdastjórnarinnar 2009/767/EB var kveðið á um að ríki Evrópusambandsins skyldu setja upp, viðhalda og birta svokallaðan traustlista (e. trusted list) við notkun rafrænna undirskrifta í tengslum við þjónustutilskipunina svokölluðu, þar sem fram kæmu upplýsingar um vottunaraðila er gefa út rafrænar undirskriftir. Slíkur listi skyldi vera „mannlæs“ (e. human readable). Í ákvörðun 2010/425/EB er hins vegar gerð sú breyting að auk slíks „mannlæss“ traustlista, skulu ríkin setja upp, viðhalda og birta „véllæsan“ (e. machine processable) traustlista.
Í tillögu þessari er gerð grein fyrir efni gerðarinnar sem hér um ræðir, en hún felur ekki í sér breytingar á þeim meginreglum sem í EES-samningnum felast. Ákvörðun sameiginlegu EES-nefndarinnar sem hér um ræðir er prentuð sem fylgiskjal með tillögu þessari ásamt gerðinni sjálfri.
2. Um stjórnskipulegan fyrirvara.
Samkvæmt EES-samningnum skuldbinda ákvarðanir sameiginlegu EES-nefndarinnar aðildarríkin að þjóðarétti um leið og þær hafa verið teknar, nema eitthvert þeirra beiti heimild skv. 103. gr. EES-samningsins til að setja fyrirvara um að ákvörðun geti ekki orðið bindandi strax vegna stjórnskipulegra skilyrða heima fyrir. Viðkomandi aðildarríki hefur þá sex mánaða frest frá töku ákvörðunar í sameiginlegu nefndinni til að aflétta fyrirvaranum.
Að því er Ísland varðar hefur stjórnskipulegur fyrirvari almennt einungis verið settur þegar innleiðing ákvörðunar kallar á lagabreytingar hér landi, en í því tilviki leiðir af 21. gr. stjórnarskrárinnar að afla ber samþykkis Alþingis áður en ákvörðun er staðfest. Slíkt samþykki getur Alþingi alltaf veitt samhliða viðeigandi lagabreytingu, en einnig hefur tíðkast að heimila stjórnvöldum að skuldbinda sig að þjóðarétti með þingsályktun áður en landsréttinum er með lögum breytt til samræmis við viðkomandi ákvörðun.
Áðurnefnd 21. gr. stjórnarskrárinnar tekur til gerðar þjóðréttarsamninga en hún á augljóslega einnig við um þau tilvik þegar breytingar eru gerðar á slíkum samningum. Samkvæmt ákvæðinu er samþykki Alþingis áskilið ef samningur felur í sér afsal eða kvaðir á landi eða landhelgi eða ef hann horfir til breytinga á stjórnarhögum ríkisins. Síðarnefnda atriðið hefur verið túlkað svo að samþykki Alþingis sé áskilið ef gerð þjóðréttarsamnings kallar á lagabreytingar hér á landi.
Umrædd ákvörðun sameiginlegu EES-nefndarinnar felur í sér breytingu á EES-samningnum en þar sem hún kallar á lagabreytingar hér á landi var hún tekin með stjórnskipulegum fyrirvara. Í samræmi við það sem að framan segir er óskað eftir samþykki Alþingis fyrir þeirri breytingu á EES-samningnum sem í ákvörðuninni felst.
3. Ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 um breytingu á ákvörðun 2009/767/EB að því er varðar að semja, viðhalda og birta áreiðanlegar skrár um þá vottunaraðila sem aðildarríkin hafa eftirlit með eða veita faggildingu.
Með lögum nr. 76/2011, um þjónustuviðskipti á innri markaði Evrópska efnahagssvæðisins, var tilskipun 2006/123/EB um þjónustuviðskipti á innri markaðnum (þjónustutilskipunin) innleidd í íslenskan rétt. Í lögunum er kveðið á um að þjónustuveitendur eigi að geta sótt rafrænt um leyfi til að stunda starfsemi sína.
Í ákvörðun framkvæmdastjórnarinnar 2009/767/EB frá 16. október 2009 var fjallað um notkun rafrænna undirskrifta í tengslum við þjónustutilskipunina. Í ákveðnum tilfellum er leyfisveitanda heimilt að krefjast þess að þjónustuveitandi noti rafræna undirskrift til að auðkenna sig er hann sækir um leyfi til að veita þjónustu í gegnum upplýsinga- og þjónustuveituna sem kveðið er á um í þjónustutilskipuninni. Aðildarríkin skulu setja upp, viðhalda og birta traustlista þar sem fram komi upplýsingar um vottunaraðila er gefa út rafrænar undirskriftir. Aðildarríki skulu tilkynna framkvæmdastjórninni hver sjái um að setja upp og viðhalda traustlistanum.
Í fyrrgreindri ákvörðun 2009/767/EB var eingöngu kveðið á um að ríkin þyrftu að koma upp og starfrækja „mannlæsa“ (e. human readable) traustlista. Með ákvörðun 2010/425/ESB er hins vegar gerð sú breyting að kveðið er á um að ríkin þurfi, auk „mannlæss“ traustlista, að setja upp og starfrækja „véllæsan“ (e. machine processable) traustlista.
4. Lagabreytingar og hugsanleg áhrif hér á landi.
Innleiðing ákvörðunar 2010/425/ESB kallar á smávægilegar breytingar á lögum nr. 28/2001, um rafrænar undirskriftir, þar sem kveðið verður á um traustlistann og utanumhald hans. Efnahags- og viðskiptaráðherra hyggst leggja fram lagafrumvarp á yfirstandandi löggjafarþingi til innleiðingar á ákvæðum hennar. Hvorki er gert ráð fyrir að þær lagabreytingar muni hafa í för með sér umtalsverðan kostnað né stjórnsýslulegar afleiðingar hér á landi. Gert er ráð fyrir að Neytendastofa annist uppsetningu og viðhald traustlistans. Fylgiskjal I.
ÁKVÖRÐUN SAMEIGINLEGU EES-NEFNDARINNAR nr. 97/2011
frá 30. september 2011
um breytingu á X. viðauka (Almenn þjónusta) við EES-samninginn
SAMEIGINLEGA EES-NEFNDIN HEFUR TEKIÐ NEÐANGREINDA ÁKVÖRÐUN
með vísan til samningsins um Evrópska efnahagssvæðið, með áorðnum breytingum samkvæmt bókun um breytingu á samningnum um Evrópska efnahagssvæðið, er nefnist „samningurinn“ í því sem hér fer á eftir, einkum ákvæða 98. gr.,
og að teknu tilliti til eftirfarandi:
1) X. viðauka við samninginn var breytt með ákvörðun sameiginlegu EES-nefndarinnar nr. 102/2010 frá 1. október 2010 ( 1 ).
2) Fella ber inn í samninginn ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 um breytingu á ákvörðun 2009/767/EB að því er varðar að semja, viðhalda og birta áreiðanlegar skrár um þá vottunaraðila sem aðildarríkin hafa eftirlit með eða veita faggildingu ( 2 ).
ÁKVÖRÐUNIN ER SVOHLJÓÐANDI:
1. gr.
Eftirfarandi bætist við í lið 1b (ákvörðun framkvæmdastjórnarinnar 2009/767/EB) í X. viðauka við samninginn:
„eins og henni var breytt með:
– 32010 D 0425: Ákvörðun framkvæmdastjórnarinnar 2010/425/ESB frá 28. júlí 2010 (Stjtíð. ESB L 199, 31.7.2010, bls. 30).“
2. gr.
Íslenskur og norskur texti ákvörðunar 2010/425/ESB, sem verður birtur í EES-viðbæti við Stjórnartíðindi Evrópusambandsins, telst fullgiltur.
3. gr.
Ákvörðun þessi öðlast gildi 1. október 2011, að því tilskildu að allar tilkynningar samkvæmt 1. mgr. 103. gr. samningsins hafi borist sameiginlegu EES-nefndinni ( * ).
4. gr.
Ákvörðun þessi skal birt í EES-deild Stjórnartíðinda Evrópusambandsins og EES-viðbæti við þau.
Gjört í Brussel 30. september 2011.
Fyrir hönd sameiginlegu EES-nefndarinnar
Kurt Jäger
formaður.
Fylgiskjal II.
ÁKVÖRÐUN FRAMKVÆMDASTJÓRNARINNAR
frá 28. júlí 2010
um breytingu á ákvörðun 2009/767/EB að því er varðar að semja, viðhalda og birta áreiðanlegar skrár um þá vottunaraðila sem aðildarríkin hafa eftirlit með eða veita faggildingu
(tilkynnt með númeri C(2010) 5063)
(Texti sem varðar EES)
(2010/425/ESB)
með hliðsjón af sáttmálanum um starfshætti Evrópusambandsins,
með hliðsjón af tilskipun Evrópuþingsins og ráðsins 2006/123/EB frá 12. desember 2006 um þjónustu á innri markaðnum ( 1 ), einkum 3. mgr. 8. gr.,
og að teknu tilliti til eftirfarandi:
1) Notkun yfir landamæri á þróuðum, rafrænum undirskriftum, sem byggjast á viðurkenndu skilríki og eru gerðar með eða án öruggs undirskriftarbúnaðar hefur verið auðvelduð með ákvörðun framkvæmdastjórnarinnar 2009/767/ EB frá 16. október 2009 þar sem settar eru fram ráðstafanir sem greiða fyrir notkun rafrænnar málsmeðferðar með upplýsinga- og þjónustumiðstöðvum samkvæmt tilskipun Evrópuþingsins og ráðsins 2006/123/EB um þjónustu á innri markaðnum ( 2 ) sem skyldar aðildarríkin til að gera upplýsingar, sem eru nauðsynlegar til að fullgilda rafrænu undirskriftirnar, aðgengilegar. Einkum verða aðildarríki að gera aðgengilegar í svokölluðum „áreiðanlegum skrám“ sínum upplýsingar um vottunaraðila sem gefa út viðurkennd skilríki til handa almenningi í samræmi við tilskipun Evrópuþingsins og ráðsins 1999/93/EB frá 13. desember 1999 um ramma Bandalagsins varðandi rafrænar undirskriftir ( 3 ) og sem þau hafa eftirlit með/veita faggildingu og um þá þjónustu sem þeir veita.
2) Nokkrar raunhæfar prófanir hafa verið skipulagðar hjá Fjarskiptastaðlastofnun Evrópu til að gera aðildarríkjum kleift að hafa eftirlit með því að áreiðanlegu skrárnar þeirra samrýmist forskriftunum, sem settar eru fram í viðaukanum við ákvörðun 2009/767/EB. Þessar prófanir hafa sýnt fram á að tilteknar tæknilegar breytingar á tækniforskriftunum í viðaukanum við ákvörðun 2009/767/EB eru nauðsynlegar til að tryggja að áreiðanlegu skrárnar séu virkar og rekstrarsamhæfðar.
3) Þessar prófanir staðfestu einnig nauðsyn þess að aðildarríki geri aðgengilegar öllum, ekki einungis þær útgáfur áreiðanlegu skránna sem eru læsilegar mönnum, eins og krafist er í ákvörðun 2009/767/EB, heldur einnig tölvutækar útgáfur þeirra. Handvirk notkun áreiðanlegu skránna sem eru læsilegar mönnum getur verið tiltölulega flókin og tímafrek ef margir vottunaraðilar eru til staðar í aðildarríkjum. Birting tölvutækrar útgáfu af áreiðanlegu skránum mun auðvelda notkun þeirra með því að gera sjálfvirka vinnslu þeirra mögulega og auka þar með notkun þeirra í almennri, rafrænni þjónustu.
4) Til að auðvelda aðgang að landsbundnum, áreiðanlegum skrám skulu aðildarríkin veita framkvæmdastjórninni upplýsingar í tengslum við staðsetningu og vernd áreiðanlegu skránna sinna. Framkvæmdastjórnin skal gera öðrum aðildarríkjum þessar upplýsingar aðgengilegar með öruggum hætti.
5) Taka skal tillit til þessara raunhæfu prófana á áreiðanlegum skrám aðildarríkja í því skyni að gera sjálfvirka notkun þessara skráa mögulega og til að auðvelda aðgang að þeim.
6) Því ber að breyta ákvörðun 2009/767/EB til samræmis við það.
7) Til að gera aðildarríkjunum kleift að gera nauðsynlegar, tæknilegar breytingar á núverandi, áreiðanlegum skrám sínum er rétt að þessi ákvörðun gildi frá og með 1. desember 2010.
8) Ráðstafanirnar, sem kveðið er á um í þessari ákvörðun, eru í samræmi við álit nefndarinnar um þjónustutilskipunina.
SAMÞYKKT ÁKVÖRÐUN ÞESSA:
1. gr.
Breyting á ákvörðun 2009/767/EB
1. Ákvæðum 2. gr. er breytt sem hér segir:
a) í stað 2. mgr. komi eftirfarandi:
„2. Aðildarríki skulu semja og birta bæði útgáfu af áreiðanlegu skránni, sem er læsileg mönnum, og tölvutæka útgáfu hennar, í samræmi við forskriftirnar sem settar eru fram í viðaukanum.“,
b) Eftirfarandi 2. mgr. a bætist við:
„2a. Aðildarríkin skulu undirrita rafrænt tölvutækar útgáfur af áreiðanlegum skrám sínum og skulu a.m.k. birta útgáfu áreiðanlegu skrárinnar, sem er læsileg mönnum, um örugga tengingu til að tryggja sannvottaðan uppruna hennar og heilleika.“,
c) Í stað 3. mgr. komi eftirfarandi:
„3. Aðildarríkin skulu veita framkvæmdastjórninni upplýsingar um eftirfarandi:
a) þann eða þá aðila sem bera ábyrgð á því að semja, viðhalda og birta áreiðanlegu skrána sem er læsileg mönnum og tölvutæka útgáfu hennar,
b) þá staði þar sem útgáfa áreiðanlegu skrárinnar, sem er læsileg mönnum, og tölvutæka útgáfa hennar eru birtar,
c) skilríkið með dreifilyklinum, sem notað er til að koma á öruggri tengingu til að birta útgáfu áreiðanlegu skrárinnar sem er læsileg mönnum, eða ef skráin, sem er læsileg mönnum, er undirrituð rafrænt, skilríkið með dreifilyklinum sem notað var til að undirrita hana,
d) skilríkið með dreifilyklinum sem notað var til að undirrita rafrænt tölvutæku útgáfuna af áreiðanlegu skránni,
e) allar breytingar á upplýsingunum í a- til d- lið.“,
d) Eftirfarandi 4. mgr. bætist við:
„4. Framkvæmdastjórnin skal gera upplýsingarnar,sem um getur í 3. mgr. og aðildarríkin hafa veitt, aðgengilegar öllum hinum aðildarríkjunum um örugga tengingu við sannvottaðan vefþjón, eins og aðildarríkin hafa veitt þær bæði í þeirri útgáfu sem er læsileg mönnum og undirritaða, tölvutæka útgáfu.“,
2. Viðaukanum er breytt eins og fram kemur í viðaukanum við þessa ákvörðun.
2. gr.
Gildissvið
3. gr.
Viðtakendur
Gjört í Brussel 28. júlí 2010.
Fyrir hönd framkvæmdastjórnarinnar,
Michel Barnier
framkvæmdastjóri
VIÐAUKI
1. Ákvæðum I. KAFLA er breytt sem hér segir:
a) í stað fyrsta og annars málsliðar í fimmtu málsgrein komi eftirfarandi:
„Núverandi forskriftir byggjast á forskriftunum og kröfunum sem tilgreindar eru í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu (ETSI TS) 102 231 v.3.1.2. Ef engar sértækar kröfur eru tilgreindar í núverandi forskriftum SKULU kröfurnar í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu (ETSI TS) 102 231 v.3.1.2. gilda í heild sinni.“,
b) önnur málsgrein í liðnum „TSL tag (liður 5.2.1)“ falli brott,
c) í stað málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „TSL sequence number (liður 5.3.2)“ komi eftirfarandi:
„Þetta svæði er SKYLDUBUNDIÐ. Þar SKAL tilgreina raðnúmer stöðuskrár áreiðanlegu þjónustunnar (TSL). Það byrjar á „1“ við fyrstu TSL-útgáfuna, þetta heiltölugildi SKAL hækka við hverja síðari TSL-útgáfu. Það SKAL EKKI stillt aftur á „1“ þegar framangreint auðkenni TSL-útgáfu „TSL version identifier“ hækkar.“,
d) í stað fyrstu málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „TSL type (liður 5.3.3)“ komi eftirfarandi:
„Þetta svæði er SKYLDUBUNDIÐ og þar er TSL-tegund tilgreind. Það SKAL stillt á uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic (Generic).“,
e) í stað þriðju málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „TSL type (liður 5.3.3)“ komi eftirfarandi:
„URI: (Generic) uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic“,
f) í stað annars málsliðar í annarri málsgrein sem kemur á eftir fyrirsögn liðarins „Scheme operator name (liður 5.3.4)“ komi eftirfarandi:
„Það er á ábyrgð hvers aðildarríkis að tilnefna rekstraraðila kerfisins (Scheme operator) fyrir TLS- framkvæmd áreiðanlegrar skrár aðildarríkisins.“,
g) í stað fjórðu málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „Scheme operator name (liður 5.3.4)“ komi eftirfarandi:
„rekstraraðili kerfisins (Scheme Operator“ (liður 5.3.4) sem nefndur er, er aðilinn sem mun undirrita TSL.“,
h) í stað fjórða undirliðar sem kemur á eftir fyrirsögn liðarins „Scheme name (liður 5.3.6)“ komi eftirfarandi:
„ „EN_name_value“ = skrá yfir eftirlits- eða faggildingarstöðu vottunarþjónustu frá vottunaraðila sem aðildarríkin, sem tilgreind eru, hafa eftirlit með eða veita faggildingu, með tilliti til þess að farið sé að viðeigandi ákvæðum, sem mælt er fyrir um í tilskipun 1999/93/EB, og framkvæmd hennar á lögum aðildarríkis sem vísað er til.“,
i) í stað fyrstu málsgreinarinnar sem kemur á eftir fyrirsögn liðarins „Service type identifier (liður 5.5.1)“ komi eftirfarandi:
„Þetta svæði er SKYLDUBUNDIÐ og þar SKAL tilgreina auðkenni tegundar þjónustunnar samkvæmt tegund núverandi TSL-forskrifta (t.d. „/eSigDir-1999-93-EC-TrustedList/TSLType/generic“).“,
j) í stað fimmta undirliðar sem kemur á eftir fyrirsögn liðarins „Service current status (liður 5.5.4)“ komi eftirfarandi:
„— Faggilt (http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/Svcstatus/accredited),“,
k) í stað níunda undirliðar, sem kemur á eftir fyrirsögn liðarins „Service current status (liður 5.5.4)“, komi eftirfarandi:
„— Eftirlit með þjónustu sem er í stöðvun: Þjónustan sem er tilgreind í „Service digital identity“ (liður 5.5.3.) og vottunaraðili, sem tilgreindur er í „TSP name“, (liður 5.4.1) veitir, er eins og er á stöðvunarstigi en sætir enn eftirliti þar til eftirliti verður hætt eða afturkallað. Ef annar lögaðili en sá sem er tilgreindur í „TSP name“ hefur tekið yfir þá ábyrgð að sjá um stöðvunarstigið, SKAL auðkenni þessa nýja lögaðila eða lögaðila til vara (varavottunaraðili) gefið upp í „Scheme service definition URI“ (liður 5.5.6) og í „TakenOverBy“ viðbótinni (liður L.2.3) við færsluna fyrir þjónustuna.“,
l) í stað fimmtu málsgreinar sem kemur á eftir fyrirsögn liðarins „Service information extensions (liður 5.5.9)“ komi eftirfarandi:
„Með tilliti til XML- framkvæmdar skal kóða sérstakt inntak slíkra viðbótarupplýsinga með xsd- skránum sem tilgreindar eru í viðauka C við tækniforskriftir Fjarskiptastaðlastofnunar Evrópu 102 231.“,
m) í stað liðarins sem ber fyrirsögnina „Service digital identity (liður 5.6.3)“ komi eftirfarandi:
„Service digital identity (ákvæði 5.6.3)
Þetta svæði er SKYLDUBUNDIÐ og þar SKAL tilgreina a.m.k. eina framsetningu á stafræna auðkenninu (t.d. X.509v3- skilríki) sem notað er í „TSP Service Information — Service digital identity“ (liður 5.5.3) á því sniði og í þeirri merkingu sem skilgreind er í tækniforskrift Fjarskiptastaðlastofnunar Evrópu 102 231, liður 5.5.3.
Athugasemd: Fyrir X.509v3 gildi skilríkis sem notað er í „Sdi“ lið 5.5.3 í þjónustu skal einungis vera ein þjónustufærsla í áreiðanlegri skrá fyrir hvert „Sti:Sie/additionalServiceInformation“-gildi. „Sdi“ (liður 5.6.3) upplýsingarnar sem notaðar eru í upplýsingunum um sögu samþykkis þjónustunnar sem tengd er við þjónustufærsluna og „Sdi“ (liður 5.5.3) upplýsingarnar sem notaðar eru í þessari þjónustufærslu VERÐA að eiga við um sama X.509v3-gildi skírteinisins. Ef skráð þjónusta breytir um „Sdi“ (t.d. endurnýjun eða endurlyklun X.509v3-skilríkis fyrir t.d. CA/PKC eða CA/QC) eða búið er til nýtt „Sdi“ fyrir slíka þjónustu, jafnvel með eins gildum fyrir tengd „Sti“, „Sn“, og [„Sie“], þýðir það að rekstraraðili kerfisins VERÐUR að búa til aðra þjónustufærslu en þá sem fyrir er.“,
n) í stað liðarins sem ber heitið „Signed TSL“ komi eftirfarandi:
„Signed TSL
Framkvæmd TSL fyrir áreiðanlegu skrána sem er læsileg mönnum og samin samkvæmt núverandi forskriftum, einkum IV. KAFLA, SKAL undirrituð með heiti rekstraraðila kerfisins „Scheme operator name“ (ákvæði 5.3.4) til að tryggja sannvottaðan uppruna og heilleika hennar (*). Snið undirskriftarinnar SKAL vera PAdES 3. hluti (ETSI TS 102 778-3 (**)) en MÁ vera PAdES 2. hluti (ETSI TS 102 778-2 (***) með tilliti til hins sértæka áeiðanlega fyrirkomulags sem komið hefur verið á með birtingu skilríkjanna sem notuð eru til að undirrita áreiðanlegu skrárnar.
Tölvutæk TSL-framkvæmd fyrir áreiðanlegu skrána, sem samin er samkvæmt núverandi forskriftum, SKAL undirrituð með heiti rekstraraðila kerfisins „Scheme operator name“ (liður 5.3.4) til að tryggja sannvottaðan uppruna og heilleika hennar. Tölvutæk TSL-framkvæmd fyrir áreiðanlegu skrána, sem samin er samkvæmt núverandi forskriftum, SKAL vera á XML-sniði og SKAL uppfylla forskriftirnar sem tilgreindar eru í viðaukum B og C í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu 102 231.
Snið undirskriftarinnar SKAL vera XAdES BES eða EPES eins og skilgreint er í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu 101 903, forskriftum um XML framkvæmd. Slík framkvæmd rafrænnar undirskriftar SKAL uppfylla kröfurnar sem tilgreindar eru í viðauka B við tækniforskriftir Fjarskiptastaðlastofnunar Evrópu 102 231 (****). Almennar kröfur til viðbótar að því er varðar þessa undirskrift eru tilgreindar í eftirfarandi liðum.
Hér er efni sem sést aðeins í pdf-skjalinu.
(*) Ef TSL-framkvæmd áreiðanlegu skrárinnar, sem er læsileg mönnum, er ekki undirrituð VERÐUR að tryggja sannvottaðan uppruna og heilleika hennar með viðeigandi samskiptaleið með sambærilegu öryggi. Notkun flutningslagsöryggis (IETF RFC 5246: mælt er með „Flutningslagsöryggi (TLS) útgáfa 1.2 af samskiptareglum)“ í þessu skyni og aðildarríkið VERÐUR að gera fingrafar af skilríkinu í rás flutningslagsöryggis tiltæka utan tíðni til TSL-notenda.
(**) ETSI TS 102 778-3 — Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced — PAdES-BES and PAdES-EPES Profiles.
(***) ETSI TS 102 778-2 — Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic — Lýsingin byggir á ISO-staðli 32000-1.
(****) Skyldubundið er að verja rekstraraðila kerfisins sem undirritar skilríkin með undirskriftinni á einhvern þann hátt sem tilgreindur er í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu 101 903 og ds:keyInfo skal innihalda viðkomandi skilríkjakeðju, eftir því sem við á.“,
o) í stað annarrar málsgreinar sem kemur á eftir fyrirsögn liðarins „Scheme identification (liður 5.7.2)“ komi eftirfarandi:
„Að því er varðar núverandi forskriftir SKAL í úthlutuðu tilvísuninni vera „TSL type“ (liður 5.3.3), „Scheme name“ (liður 5.3.6) og gildið fyrir SubjectKeyIdentifier- viðskeyti skilríkisins sem rekstraraðili kerfisins notar til að undirrita TSL rafrænt.“,
p) í stað annarrar málsgreinar, sem kemur á eftir fyrirsögn liðarins „additionalServiceInformation Extension (liður 5.8.2)“, komi eftirfarandi:
„Þegar tilvísanir eru teknar úr vefföngum SKULU verða til upplýsingar sem eru læsilegar mönnum (a.m.k. á ensku og mögulega á einni eða fleiri þjóðtungum) sem teljast viðeigandi og fullnægjandi fyrir aðila sem reiðir sig á upplýsingarnar þannig að hann skilji viðskeytin, einkum til að útskýra þau vefföng sem gefin eru upp og tilgreina hugsanleg gildi fyrir serviceInformation og merkingu hvers gildis.“,
q) í stað liðarins sem ber heitið „Qualifications Extension (liður L.3.1)“ komi eftirfarandi:
„Qualifications Extension (ákvæði L.3.1)
Lýsing: Þetta svæði er VALKVÆTT en SKAL vera til staðar ef notkun þess er SKYLDUBUNDIN, t.d. fyrir RootCA/QC eða CA/QC þjónustu, og þegar
— upplýsingarnar, sem veittar eru í „Service digital identity“, eru ekki fullnægjandi til að bera kennsl með ótvíræðum hætti á viðurkennd skilríki sem þessi þjónusta gefur út,
— upplýsingarnar, sem eru til staðar í tengdum viðurkenndum skilríkjum, gera ekki kleift að auðkenna með tölvutækum hætti þá staðreynd hvort viðurkennda skilríkið er stutt af öruggum undirskriftarbúnaði (SSCD).
Þegar það er notað VERÐUR þetta viðskeyti þjónustustigsins einungis notað í svæðinu sem skilgreint er í „Service information extension“ (liður 5.5.9) og SKAL uppfylla forskriftirnar sem mælt er fyrir um í viðauka L.3.1 við tækniforskriftir Fjarskiptastaðlastofnunar Evrópu 102 231.“,
r) á eftir liðnum „Qualifications Extension (liður L.3.1)“, er liðnum TakenOverBy Extension (liður L.3.2) bætt við sem hér segir:
„TakenOverBy Extension (liður L.3.2)
Lýsing: Þetta viðskeyti er VALKVÆTT en SKAL vera til staðar ef þjónusta, sem áður var á lagalegri ábyrgð vottunaraðila, hefur verið tekin yfir af öðrum aðila sem veitir áreiðanleg þjónustu (TSP) og er ætlað að tilgreina með formlegum hætti lagalega ábyrgð þjónustu og gera vottunarhugbúnaðinum kleift að birta notandanum einhverjar lagalegar upplýsingar. Upplýsingarnar, sem veittar eru í þessu viðskeyti, SKULU vera í samræmi við tengda notkun liðar 5.5.6 og SKULU uppfylla forskriftirnar í viðauka L.3.2 í tækniforskriftum Fjarskiptastaðlastofnunar Evrópu 102 231.“,
2. Í stað II. KAFLA komi eftirfarandi:
„II. KAFLI
Þegar aðildarríkin semja áreiðanlegar skrár sínar skulu þau nota:
Tungumálakóða með lágstöfum og landskóða með hástöfum,
tungumála- og landskóða samkvæmt töflunni hér á eftir:
Ef latneskt letur er fyrir hendi (ásamt réttum tungumálakóða) skal bæta við umritun á latnesku letri ásamt tengda tungumálakóðanum sem tilgreindur er í töflunni hér á eftir:
| Stuttheiti (frummál) | Stuttheiti (enska) | Landskóði | Tungumálakóði | Athugasemdir: | Umritun með latnesku letri |
| Belgique/België | Belgium | BE | nl, fr, de | ||
| ........ (*) | Bulgaria | BG | bg | bg-Latn | |
| Ceská republika | Czech Republic | CZ | cs | ||
| Danmark | Denmark | DK | da | ||
| Deutschland | Germany | DE | de | ||
| Eesti | Estonia | EE | et | ||
| Éire/Ireland | Ireland | IE | ga, en | ||
| ...... (*) | Greece | EL | el | Landskóði sem Evrópusambandið mælir með | el-Latn |
| España | Spain | ES | es | einnig katalónska (ca), baskneska (eu), galisíska | |
| France | France | FR | fr | ||
| Italia | Italy | IT | it | ||
| ....../K.br.s (*) | Cyprus | CY | el, tr | el-Latn | |
| Latvija | Latvia | LV | lv | ||
| Lietuva | Lithuania | LT | lt | ||
| Luxembourg | Luxembourg | LU | fr, de, lb | ||
| Magyarország | Hungary | HU | hu | ||
| Malta | Malta | MT | mt, en | ||
| Nederland | Netherlands | NL | nl | ||
| Österreich | Austria | AT | de | ||
| Polska | Poland | PL | pl | ||
| Portugal | Portugal | PT | pt | ||
| România | Romania | RO | ro | ||
| Slovenija | Slovenia | SI | sl | ||
| Slovensko | Slovakia | SK | sk | ||
| Suomi/Finland | Finland | FI | fi, sv | ||
| Sverige | Sweden | SE | sv | ||
| United Kingdom | United Kingdom | UK | en | Landskóði sem Evrópusambandið mælir með | |
| Ísland | Iceland | IS | is | ||
| Liechtenstein | Liechtenstein | LI | de | ||
| Norge/Noreg | Norway | NO | no, nb, nn | ||
| (*) Umritun með latnesku letri: ........ = Bulgaria; ...... = Elláda; ...... = Kýpros.“ | |||||
4. í IV. KAFLA bætist eftirandi undirliður við á eftir inngangsorðunum „Inntak TSL-framkvæmdar á áreiðanlegu skránni sem er læsileg mönnum og á PDF/A-sniði SKAL uppfylla eftirfarandi kröfur:“:
„— Fyrirsögn útgáfu áreiðanlegu skrárinnar sem er læsileg mönnum skal samanstanda af samtengingu eftirfarandi þátta:
— valkvæðri mynd af þjóðfána aðildarríkisins,
— stafbili,
— stuttheiti landsins á frummáli(-um) (eins og það er gefið upp/þau eru gefin upp í fyrsta dálknum í töflunni í II. KAFLA),
— stafbili,
— „(“,
— stuttheiti landsins á ensku innan gæsalappa (eins og það er gefið upp í fyrsta dálknum í töflunni í II. KAFLA),
— „):“ sem lokandi gæsalappir og afmarkari,
— stafbili,
— „áreiðanlegri skrá“,
— valkvæðri mynd af þjóðfána aðildarríkisins.“
- Neðanmálsgrein: 1
- (1) Stjtíð. ESB L 332, 16.12.2010, bls. 52, og EES-viðbætir við Stjtíð. ESB nr. 70, 16.12.2010, bls. 9.
- Neðanmálsgrein: 2
- (2) Stjtíð. ESB L 199, 31.7.2010, bls. 30.
- Neðanmálsgrein: 3
- (*) Stjórnskipuleg skilyrði gefin til kynna.
- Neðanmálsgrein: 4
- (1) Stjtíð. ESB L 376, 27.12.2006, bls. 36.
- Neðanmálsgrein: 5
- (2) Stjtíð. ESB L 274, 20.10.2009, bls. 36.
- Neðanmálsgrein: 6
- (3) Stjtíð. ESB L 13, 19.1.2000, bls. 12.
