Tunnistus- ja luottamuspalveluiden ilmoitukset

Samankaltaiset tiedostot
Tunnistus- ja luottamuspalveluiden arviointikertomukset

Sähköisten tunnistus- ja luottamuspalveluiden ilmoitukset

Tunnistus- ja luottamuspalveluiden arviointikertomukset. Viestintäviraston ohje

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Valtioneuvoston asetus

(ETA:n kannalta merkityksellinen teksti)

toisen maksupalveludirektiivin väitettyä rikkomista koskevista valitusmenettelyistä

asuntoluottodirektiivin mukaisista luotonvälittäjiä koskevista notifikaatioista

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EY) N:o /2010, annettu [ ],

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o / annettu [ ],

ASETUKSET. (ETA:n kannalta merkityksellinen teksti)

LIITE EASAn LAUSUNTOON 06/2012. KOMISSION ASETUS (EU) N:o.../..

Määräys sähköisistä tunnistus- ja luottamuspalveluista

Laki. vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

Riippumattomat arviointilaitokset

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 27. heinäkuuta 2012 (27.07) (OR. en) 12945/12 ENV 645 ENT 185 SAATE

EV 6/2011 vp HE 6/2011 vp. (ETY) N:o 339/93 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 765/2008.

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

(Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

Määräys luottolaitosten ulkomailla olevista sivukonttoreista ja palvelujen tarjoamisesta ulkomailla

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o / annettu [ ],

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 6. syyskuuta 2010 (06.09) (OR. en) 12962/10 DENLEG 78 SAATE

(ETA:n kannalta merkityksellinen teksti)

Ehdotus NEUVOSTON DIREKTIIVI

Määräys sähköisistä tunnistus- ja luottamuspalveluista

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) /, annettu ,

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu , (ETA:n kannalta merkityksellinen teksti)

Määräys sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista

eidas tilanne ja vaikutuksia Suomen ratkaisuihin

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) /, annettu ,

MPS 7 MÄÄRÄYKSEN 7 PERUSTELUT JA SOVELTAMINEN

Määräys. 1 Soveltamisala

Tietosuojaseloste Espoon kaupunki

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

Ehdotus. KOMISSION ASETUKSEKSI (EY) N:o /.. annettu [ ]

Ohjeet. keskusvastapuolten ja kauppapaikkojen tapahtumasyötteiden antamisesta arvopaperikeskusten saataville 08/06/2017 ESMA FI

Euroopan unionin neuvosto Bryssel, 14. joulukuuta 2017 (OR. en)

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

Euroopan unionin neuvosto Bryssel, 27. lokakuuta 2014 (OR. en)

(kodifikaatio) ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 207 artiklan 2 kohdan,

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

LIITE. ETA:n SEKAKOMITEAN PÄÄTÖS N:o /2015, annettu..., ETA-sopimuksen liitteen XX (Ympäristö) muuttamisesta. asiakirjaan

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

***I MIETINTÖ. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti A8-0000/

Varustekorttirekisteri - Tietosuojaseloste

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos: KOMISSION ASETUS (EY) N:o /2009, annettu [ ] päivänä [ ] kuuta [ ],

Valtuuskunnille toimitetaan oheisena asiakirja D045714/03.

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

Tietosuojaseloste Espoon kaupunki

KOMISSION TIEDONANTO NEUVOSTOLLE JA EUROOPAN PARLAMENTILLE

1 Artikla. Sopimuksen tarkoitus

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

KOMISSION DELEGOITU ASETUS (EU) N:o /, annettu ,

Euroopan unionin neuvosto Bryssel, 21. helmikuuta 2017 (OR. en)

Ehdotus NEUVOSTON DIREKTIIVI

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o.../... annettu [ ] päivänä [ ]kuuta [ ],

A7-0277/102

Euroopan unionin virallinen lehti. (Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Ohje säännöllisen henkilöliikenteen muutostietojen ilmoittamisesta

(ETA:n kannalta merkityksellinen teksti)

Euroopan unionin neuvosto Bryssel, 16. tammikuuta 2018 (OR. en)

Euroopan unionin neuvosto Bryssel, 21. maaliskuuta 2017 (OR. en)

Ehdotus: NEUVOSTON PÄÄTÖS

Lausunto nro 1/2016. (annettu Euroopan unionin toiminnasta tehdyn sopimuksen 325 artiklan nojalla)

Helsinki 25. maaliskuuta 2009 Asiakirja: MB/12/2008 lopullinen

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 6. syyskuuta 2010 (06.09) (OR. en) 12963/10 DENLEG 79 SAATE

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

(ETA:n kannalta merkityksellinen teksti) (2014/287/EU)

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Tietosuojaseloste / Tapahtumatukiselvitys

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Vientilupamenettelyt

EUROOPAN UNIONI EUROOPAN PARLAMENTTI

Rekisterinpitäjä Kotkan kaupunki, Hyvinvointipalvelut, Hyvinvointilautakunta. Varhaiskasvatusjohtaja Raili Liukkonen

(ETA:n kannalta merkityksellinen teksti)

LIITTEET. asiakirjaan KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /...

FI LIITE I LIITE HAKEMUS REKISTERÖIDYKSI VIEJÄKSI Euroopan unionin, Norjan, Sveitsin ja Turkin yleisiä tullietuusjärjestelmiä varten ( 1 )

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Ehdotus NEUVOSTON PÄÄTÖS

EUROOPAN UNIONI EUROOPAN PARLAMENTTI FIN 299 INST 145 AG 37 INF 134 CODEC 952

Tietosuojaseloste KasvaNet -oppimisympäristö

Ehdotus NEUVOSTON DIREKTIIVI

***I EUROOPAN PARLAMENTIN KANTA

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 30. heinäkuuta 2012 (30.07) (OR. en) 12991/12 ENV 654 ENT 191 SAATE

Transkriptio:

Ohje Tunnistus- ja luottamuspalveluiden ilmoitukset n ohje LUONNOS

Ohje 1 (24) Sisältö 1 Johdanto... 3 1.1 Ohjeen tavoitteet... 3 1.2 Säännökset, joihin ohje perustuu... 3 1.3 Muut tunnistus- ja luottamuspalveluja koskevat ohjeet ja määräys... 4 1.4 Ohjeen voimaantulo... 5 2 Tunnistuspalvelun ilmoitukset ja rekisteri... 5 2.1 Tunnistuspalvelun aloitusilmoitus... 5 2.1.1 Ilmoituksessa annettavat tiedot... 5 2.1.2 Aloitusilmoituksen liitteet... 7 2.1.3 Tunnistuspalvelun tarkastuskertomus... 8 2.1.4 Julkiset rekisterimerkinnät... 8 2.2 Tunnistuspalvelun muutosilmoitus... 8 2.2.1 Muutosilmoituksessa annettavat tiedot... 8 2.2.2 Julkiset rekisterimerkinnät... 9 2.3 Ennen ilmoitettujen tunnistuspalveluntarjoajien muutosilmoitukset siirtymävaiheessa... 10 2.3.1 Muutosilmoituksessa annettavat tiedot... 10 2.3.2 Julkiset rekisterimerkinnät... 11 2.4 Tunnistuspalvelun lopetusilmoitus... 12 2.4.1 Ilmoituksessa annettavat tiedot... 12 2.4.2 Julkiset rekisterimerkinnät... 12 3 Tunnistusvälineen notifiointi EU:lle... 12 3.1 Notifioinnissa annettavat tiedot... 12 4 Hyväksytyt luottamuspalvelut... 14 4.1 Hyväksytyn luottamuspalvelun aloitusilmoitus... 14 4.1.1 Ilmoituksessa annettavat tiedot... 14 4.1.2 Vaatimustenmukaisuuden arviointilaitoksen laatima arviointikertomus... 15 4.1.3 Luotettu luettelo ja n verkkosivut... 15 4.2 Ennen luotettuun luetteloon merkityn toimijan ilmoitukset... 17 4.2.1 Ilmoituksessa annettavat tiedot... 17 4.2.2 Luotettu luettelo ja n verkkosivut... 17 4.3 Hyväksytyn luottamuspalvelun muutosilmoitus... 18 4.3.1 Ilmoituksessa annettavat tiedot... 18 4.3.2 Luotettu luettelo ja n verkkosivut... 19 4.4 Hyväksytyn luottamuspalvelun lopetusilmoitus... 19 4.4.1 Ilmoituksessa annettavat tiedot... 19

Ohje 2 (24) 4.4.2 Luotettu lista ja n verkkosivut... 19 5 Hyväksytyn ja ei-hyväksytyn luottamuspalvelun häiriöilmoitus... 19 6 Akkreditoitu vaatimustenmukaisuuden arviointilaitos... 21 6.1 Hakemus hyväksynnästä... 21 6.1.1 Hakemuksessa annettavat tiedot... 21 6.1.2 Hakemuksen liitteet... 22 6.1.3 Tietojen julkaisu... 22 6.2 Muutos- tai lopetusilmoitus... 22 7 LIITTEET... 22 7.1 LIITE 1 Taulukko tunnistuspalvelua koskevat ilmoitukset.... 22 7.2 LIITE 2 Taulukko: luottamuspalveluita ja arviointilaitoksia koskevat ilmoitukset... 23

Ohje 3 (24) 1 Johdanto 1.1 Ohjeen tavoitteet 1.2 Säännökset, joihin ohje perustuu Ohje koskee - vahvan sähköisen tunnistamisen välineiden tarjoajia ja tunnistusvälityspalveluita, - sähköisiä luottamuspalveluita, - vaatimustenmukaisuuden arviointilaitoksia, jotka hakevat FINASin tekemän akkreditoinnin perusteella hyväksyntää lta luottamuspalveluiden arviointiin. Ohjeen tarkoitus on selkeyttää toimijoille, mitä tietoja valvovalle viranomaiselle säädösten 1 mukaan tehtävissä ilmoituksissa täytyy antaa. Ohjeessa kuvataan myös ilmoitusprosesseja. n tehtävänä on valvoa tunnistus- ja luottamuspalvelulain (617/2009) 42 :n nojalla lain ja EU:n eidasasetuksen noudattamista. Tunnistuspalvelut Tunnistus- ja luottamuspalvelulain 42 :n nojalla voi tarvittaessa antaa tarkempia määräyksiä tiedoista, jotka sähköisen tunnistuspalvelutarjoajan on lain 10 :n mukaisesti ilmoitettava lle ennen toiminnan aloittamista (tunnistuspalvelun aloitusilmoitus) ja joissa tapahtuneista muutoksista on myös ilmoitettava (tunnistuspalvelun muutosilmoitus tai lopetusilmoitus). ei anna asiasta määräystä, vaan ohjeen. Hyväksytyt luottamuspalvelut Hyväksytyt luottamuspalvelut ovat eidas-asetuksen määritelmien mukaisia ja asetuksessa säädetyt vaatimukset täyttäviä sähköisiä palveluita, joista on tehty ilmoitus valvontaelimelle ja jotka on merkitty asetuksen mukaiselle luotetulle listalle. 1 Palvelujen vaatimuksista säädetään vahvasta sähköisestä tunnistamisesta ja luottamuspalveluista annetussa laissa (617/2009, muutos HE 74/2016, jäljempänä tunnistus- ja luottamuspalvelulaki) ja Euroopan parlamentin ja neuvoston (EU) N:o 910/2014 sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta antamassa asetuksessa (jäljempänä eidas-asetus). Vaatimustenmukaisuuden arviointilaitoksia koskee myös EU:n asetus 765/2008.

Ohje 4 (24) EU:n eidas-asetuksen 21 artiklassa säädetään, että hyväksytyn luottamuspalvelun tarjoajan on ennen palvelun tarjoamisen aloittamista tehtävä ilmoitus valvontaviranomaiselle (luottamuspalvelun aloitusilmoitus) ja liitettävä ilmoitukseen vaatimustenmukaisuuden arviointilaitoksen arviointikertomus. eidas-asetuksen 24.2 a) artiklassa säädetään, että hyväksytyn luottamuspalvelun tarjoajan on ilmoitettava valvontaelimelle kaikista muutoksista hyväksyttyjen luottamuspalvelujen tarjoamisessa sekä aikomuksesta lopettaa tämä toiminta (luottamuspalvelun muutosilmoitus tai lopetusilmoitus). eidas-asetuksen 19.2 artiklassa säädetään, että hyväksytyn ja ei-hyväksytyn luottamuspalvelun tarjoajan on ilmoitettava valvontaelimelle tietoturvaloukkauksista ja eheyden menetyksistä (luottamuspalvelun häiriöilmoitus). antaa ohjeen edellä mainituissa ilmoituksissa kerrottavista tiedoista ja arviointikertomuksesta. Ei-hyväksytyt luottamuspalvelut Ei-hyväksytyt luottamuspalvelut ovat eidas-asetuksen 16 artiklan mukaisia sähköisiä palveluita, joiden vaatimustenmukaisuutta valvontaelin ei ole arvioinut ja joita ei ole merkitty luotetulle listalle. Suomessa luotetulle listalle merkitään ainoastaan hyväksyttyjä palveluita, osassa ETA-alueen valtioissa luotetulle listalle merkitään myös palveluita, joita valvova viranomainen ei ole arvioinut. eidas-asetuksen 19.2 artiklassa säädetään, että myös eihyväksytyn luottamuspalvelun tarjoajan on ilmoitettava valvontaelimelle tietoturvaloukkauksista ja eheyden menetyksistä (luottamuspalvelun häiriöilmoitus). Ohjeet luottamuspalvelun häiriöilmoituksista koskevat myös eihyväksyttyjä luottamuspalveluja. 1.3 Muut tunnistus- ja luottamuspalveluja koskevat ohjeet ja määräys Tunnistuspalvelun vaatimustenmukaisuuden arvioinnista laadittavasta selvityksestä, joka täytyy liittää ilmoitukseen (tunnistuspalvelun tarkastuskertomus), ks. erillinen ohje 215/2016 O. Tunnistuspalvelun vaatimustenmukaisuuden arviointiin liittyy myös ohje 211/2016 O tunnistuspalveluntarjoajan auditoinnin mallikriteeristö. Kriteeristö on esimerkki, jota toimijat voivat halutessaan käyttää palvelun tietoturva-arvioinneissa.

Ohje 5 (24) 1.4 Ohjeen voimaantulo Tunnistus- ja luottamuspalvelulain 42 :n nojalla voi antaa tarkempia määräyksiä tiedoista, jotka tunnistuspalveluntarjoajan on annettava häiriötilannetta koskevassa ilmoituksessa lain 16 :n mukaisesti. määrää asiasta määräyksessä 72/2016 M 11 :ssä (tunnistuspalvelun häiriöilmoitus), joten tässä ohjeessa viitataan tunnistuspalvelun häiriöilmoitusten osalta määräykseen. Ohje tulee voimaan x.x.2016. Ohje on voimassa toistaiseksi ja sitä täydennetään ja muutetaan tarvittaessa. Tällöin ohjeen numero 214 säilyy, mutta päivämäärä vaihtuu ja vuosiluku vaihtuu tarvittaessa. Ohjeen muutetut versiot listataan seuraavaan taulukkoon Ohjeen versio ja päivämäärä Ohjeluonnos 14.7.2016 Tehdyt muutokset Luonnosversio kuultavaksi. Voimassa oleva ohje julkaistaan n verkkosivulla https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkais ut/ohjeidentulkintojensuositustenjaselvitystenasiakirjat.html 2 Tunnistuspalvelun ilmoitukset ja rekisteri 2.1 Tunnistuspalvelun aloitusilmoitus 2.1.1 Ilmoituksessa annettavat tiedot SÄÄNNÖKSET 10 Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toiminnan aloittamisesta Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toiminnan aloittamista tehtävä kirjallinen ilmoitus lle. Ilmoituksen voi tehdä myös sellainen tunnistusvälineen tarjoajien yhteenliittymä, jonka hallinnoimaa palvelua on pidettävä yhtenä tunnistuspalveluna.

Ohje 6 (24) Ilmoituksessa on oltava: 1) palveluntarjoajan nimi; 2) palveluntarjoajan täydelliset yhteystiedot; 3) tiedot tarjottavista palveluista; 4) selvitykset hakijaa ja hakijan toimintaa koskevien 8, 8 a, 9, 13 ja 14 :ssä säädettyjen vaatimusten täyttymisestä: 5) vaatimustenmukaisuuden arviointilaitoksen, muun ulkoisen arviointilaitoksen taikka sisäisen tarkastuslaitoksen laatima tarkastuskertomus riippumattomasta arvioinnista 29 :n mukaisesti; 6) muut valvonnan kannalta tarpeelliset tiedot. [ ] Tunnistuspalvelun tarjoajan tunnistuslain 10 :n tarkoittamassa aloitusilmoituksessa on annettava seuraavat tiedot Yritys tai yhteisö 1) Yrityksen tai yhteisön nimi ja yksilöivä rekisterinumero tai -tunnus 2) Jos yritys tai yhteisö on sijoittunut muuhun ETA-alueen valtion kuin Suomeen, rekisteri, johon ulkomainen yhteisö tai yritys on merkitty 3) Jos yritys tai yhteisö kuuluu tunnistuslain 10 :n mukaiseen yhteenliittymään, tieto yhteenliittymästä 4) postiosoite ja yhteyshenkilöt 5) sähköpostiosoitteet hallinnollisia, teknisiä ja häiriötilanteita koskevia n tiedusteluja varten 6) laskutusyhteystiedot Tarjottava tunnistusväline/menetelmä tai välityspalvelu 7) tiedot tarjottavista tunnistusvälineistä ja niiden varmuustasosta (tunnistusvälineen tarjoaja) 8) jos tunnistusmenetelmä perustuu varmenteeseen, tieto varmenteen tietosisällön rakenteesta 9) tiedot tunnistusvälineistä, joiden välitystä tarjotaan luottaville osapuolille ja minkä varmuustason palveluita on valmius välittää (tunnistusvälityspalvelun tarjoaja) Todentamismenetelmä ja tietoturvallisuus (lain 8 ja 8a ) Tiedot katetaan tunnistusjärjestelmän arviointielimen tarkastuskertomuksella (ks. kohta 2.1.3 ja erillinen ohje). Tunnistuspalveluntarjoaja (lain 9 ja 13 ) 10) tiedot (kuvaus) henkilöstöstä ja tunnistuspalvelun tarjoamisessa apuna käytetyistä henkilöistä (alihankkijoista) 11) tiedot taloudellisista voimavaroista ja vahingonkorvausvastuun kantokyvystä Tunnistusperiaatteet (lain 14 ) 12) tunnistusperiaatteet, joihin sisältyy (välineen tarjoaja) selvitys ensitunnistamismenettelyistä

Ohje 7 (24) 2.1.2 Aloitusilmoituksen liitteet 13) toimiva linkki verkkosivuille, joilla ajantasaiset tunnistusperiaatteet julkaistaan Arviointielimen pätevyys ja riippumattomuus 14) selvitys tunnistuspalvelun tarjoajan käyttämän arviointielimen pätevyydestä (lain 33.4, M72 18 tai 19 ) Muut valvonnan kannalta tarpeelliset tiedot: Luottamusverkoston rajapinnat (lain 12 a ) 15) tiedot luottamusverkostossa tarjottavista tunnistetietojen välittämisen rajapinnoista (protokollat) 16) tarvittaessa tiedot erityisistä 13 kohtaa täydentävistä tunnistetietojen välittämistä koskevista järjestelyistä luottamusverkostossa Muut valvonnan kannalta tarpeelliset tiedot 17) kuvaus tunnistamiseen liittyvästä henkilötietojen käsittelystä (6 ) 18) sulkulistapalvelun yhteystiedot 19) VTJ-tarkistusten tiheys (lain 7, luonnollisen henkilön tunnistus) ja yritysrekisterien tarkistamisen tiheys (lain 7 a, oikeushenkilön tunnistus) (välineen tarjoaja) Ainakin yrityksen tai yhteisön perustiedot, yhteyshenkilöt ja yhteystiedot pyydetään antamaan lomakkeella. Ilmoituslomake toiminnan aloittamisesta löytyy n verkkosivulta. Lomaketta ei ole ehditty vielä päivittää esim. liitteiden osalta uusien vaatimusten mukaiseksi. https://www.viestintavirasto.fi/asioikanssamme/ilmoituksetjamuutloma kkeet/ilmoituksetjahakemuksettoiminnanaloittamisesta.html#ilmoitusva hvansahkoisentunnistamisentarjoamisenaloittamisesta Edellä kohdassa 2.1.1 vaaditut tiedot voi antaa ilmoituksen erillisillä liitteillä. Liitteet on hyvä listata ilmoituslomakkeella. Ainakin seuraavat asiat tulisi toimittaa omina liitteinään: 1) arviointielimen tarkastuskertomus (tarkemmin kohdassa 2.1.3) 2) tunnistusperiaatteet 3) tiedot tunnistuspalveluntarjoajan eri toimintojen organisoinnista sekä sen käyttämästä henkilöstöstä ja alihankkijoista (yleistason kuvaus) 4) tiedot tunnistuspalveluntarjoajan taloudellisista voimavaroista

Ohje 8 (24) 2.1.3 Tunnistuspalvelun tarkastuskertomus Ilmoitukseen on liitettävä voimassa oleva tarkastuskertomus yhden tai useamman arviointielimen tekemästä arvioinnista, joka kattaa määräyksen 72 15 :ssä määrätyt osa-alueet. Tarkastuskertomuksesta on annettu erillinen ohje 215/2016 O. 2.1.4 Julkiset rekisterimerkinnät SÄÄNNÖKSET 12 Tunnistuspalvelun tarjoajia koskeva rekisteri ylläpitää julkista rekisteriä 10 :n mukaisen ilmoituksen tehneistä tunnistuspalvelun tarjoajista ja niiden tarjoamista palveluista. n on 10 :ssä tarkoitetun ilmoituksen saatuaan kiellettävä palveluntarjoajaa tarjoamasta palveluaan vahvana sähköisenä tunnistamisena, jos palvelu tai palveluntarjoaja ei täytä tässä luvussa asetettuja vaatimuksia. Jos puutteellisuutta voidaan pitää ainoastaan vähäisenä, voi kehottaa palveluntarjoajaa korjaamaan puutteellisuuden määräajassa. 2.2 Tunnistuspalvelun muutosilmoitus merkitsee verkkosivuillaan ylläpitämäänsä rekisteriin seuraavat tiedot - aloitusilmoituksen päivämäärä - onko aloitusilmoitus vasta vireillä vai onko jo tarkastanut sen - yrityksen tai yhteisön nimi - yrityksen tai yhteisön y-tunnus ja rekisteri, jossa ulkomainen yhteisö on rekisteröity - palveluntarjoajien yhteenliittymä, jos palveluntarjoaja kuuluu tunnistuslain 10 :n tarkoittamaan yhteenliittymään - sulkulistapalvelun yhteystiedot - linkki tunnistusperiaatteisiin Harkinnanvaraisesti julkaisee verkkosivuilla - tarkastuskertomuksen antamisen päivämäärä - kieltopäätös - mitä tunnistusvälineitä välityspalvelu välittää 2.2.1 Muutosilmoituksessa annettavat tiedot SÄÄNNÖKSET 10 Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toiminnan aloittamisesta

Ohje 9 (24) [ ] 2.2.2 Julkiset rekisterimerkinnät Tunnistuspalvelun tarjoajan on viipymättä ilmoitettava 2 momentissa tarkoitetuissa tiedoissa tapahtuneista muutoksista kirjallisesti lle. Ilmoitus on tehtävä myös toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle palveluntarjoajalle. Tunnistuspalvelun tarjoajan on ilmoitettava viipymättä lle 1) kaikista merkittävistä muutoksista, jotka koskevat 2.1 mukaan toimitettuja tietoja, sekä erityisesti 2) n julkiseen rekisteriin merkittyjen tietojen muutokset 3) tunnistusperiaatteiden muutos 4) muutokset tarjottujen tai välitettyjen tunnistusvälineiden valikoimassa 5) toiminnan siirtyminen toiselle palveluntarjoajalle 6) yhteenliittymään kuuluvien yritysten tai yhteisöjen muutos 7) tuore tarkastuskertomus vaatimustenmukaisuuden arvioinnista Muutoksista tulee ilmoittaa viipymättä, joten esimerkiksi kerran vuodessa tehtävä koosteilmoitus ei ole riittävä. n määräyksessä ei enää määrätä vuosiraportin toimittamisesta, vaan virasto tekee toimijoille tarvittaessa kyselyitä. Tulossa olevista muutoksista voi myös antaa lle ennakkotietoa, jolloin voi tarvittaessa antaa neuvontaa asiassa. merkitsee verkkosivuillaan ylläpitämäänsä rekisteriin seuraavat tiedot - ajantasaiset tiedot tunnistuspalvelun nimestä, rekisteritunnuksesta, tunnistusvälineen sulkupalvelusta - ajantasaisen linkin tunnistusperiaatteisiin - toiminnan siirtyminen toiselle palveluntarjoajalle sekä yritysten tai yhteisöjen fuusiot tai diffuusiot - toiminnan tai palveluntarjonnan lopettamisen Harkinnan mukaan merkitsee rekisteriin seuraavat tiedot - muutosten vireilläolo - tunnistusperiaatteiden muutoksen voimaantulopäivämäärän

Ohje 10 (24) 2.3 Ennen ilmoitettujen tunnistuspalveluntarjoajien muutosilmoitukset siirtymävaiheessa 2.3.1 Muutosilmoituksessa annettavat tiedot SÄÄNNÖKSET Tunnistus- ja luottamuspalvelulain siirtymäsäännös [ ] Lain 12 :ssä säädettyyn rekisteriin merkityn tunnistuspalveluntarjoajan on tehtävä viimeistään kahden kuukauden kuluessa tämän lain voimaantulosta lle tämän lain 10 :n 3 momentissa tarkoitettu muutosilmoitus, jos se haluaa jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana. Tämän lain 10 :ssä edellytetyt tiedot tulee toimittaa lle viimeistään 31 päivänä tammikuuta 2017. [ ] Sähköistä tunnistusvälinettä ei katsota enää vahvaksi sähköiseksi tunnistusvälineeksi, jos tunnistuspalveluntarjoaja ei tee 3 momentissa tarkoitettua muutosilmoitusta asetetussa määräajassa. n on tällöin poistettava tunnistuspalveluntarjoaja 12 :ssä tarkoitetusta rekisteristä ja ilmoitettava rekisteristä poistamisesta tunnistuspalvelun tarjoajalle. [ ] Ilmoitus viimeistään 31.8.2016 vahvan sähköisen tunnistuspalvelun tarjonnan jatkamisesta Viimeistään 31.8.2016 toimitettavassa muutosilmoituksessa on ilmoitettava, jos yhteisö aikoo jatkaa vahvan sähköisen tunnistuspalvelun tarjoamista. Varmuustasotietoa ei tarvitse lain mukaan ilmoittaa, mutta halutessaan senkin voi ilmoittaa. Kunkin palveluntarjoajan on allekirjoitettava ja annettava ilmoitus omasta puolestaan. Yhteenliittymien osalta ilmoitukset voi koota ja toimittaa yhteenliittymän asiamies tai yrityksiä edustava liitto tai muu yhteisö. Suositeltavaa onkin, että yhteenliittymän ilmoitukset toimitetaan kootusti. Ilmoituksessa ei voi esittää varaumia tai ehtoja toiminnan jatkamiselle. Toimija voi tehdä myöhemmin lopetusilmoituksen, jos se lopettaa vahvan sähköisen tunnistamisen tarjonnan. Jos toimija tekee myöhemmin uuden aloitusilmoituksen, ilmoitus käsitellään kokonaan uutena aloitusilmoituksena (tämän ohjeen luvun 2.1 mukaisesti).

Ohje 11 (24) 2.3.2 Julkiset rekisterimerkinnät Jos yhteisö ei toimita ilmoitusta määräajassa, poistaa lain mukaisesti tunnistuspalveluntarjoajan rekisteristä ja ilmoittaa asiasta palveluntarjoajalle. muistuttaa määräajan lähestyessä rekisterissä olevia toimijoita asiasta ja poistaa 1.9.2016 alkaen rekisteristä ne toimijat, jotka eivät ole ilmoittaneet jatkavansa vahvan sähköisen tunnistuspalvelun tarjoamista. On tärkeää, että etenkin säästöpankkien ja osuuspankkien yhteenliittymissä, joissa tapahtuu jatkuvasti siirtymisiä ja muutoksia, yhteenliittymät huolehtivat siitä, että kaikkien yhteenliittymään kuuluvien ilmoituksesta on huolehdittu ajoissa. Muutosilmoitus viimeistään 31.1.2017 tarkastuskertomuksesta ja uusien vaatimusten täyttämisestä Viimeistään 31.1.2017 niiden toimijoiden, jotka ovat olleet vahvan sähköisen tunnistamisen palveluntarjoajien rekisterissä ennen, on toimitettava muutosilmoitus, jossa on liitteenä arviointielimen tarkastuskertomus (ks. kohta 2.1.3 ja Ohje 215/2016 O) sekä tiedot tunnistuspalveluntarjoajan käyttämästä arviointielimestä ja sen pätevyydestä ja riippumattomuudesta. Muutosilmoituksessa on myös ilmoitettava tunnistusvälineen varmuustaso sekä ne kohdassa 2.1.1 aloitusilmoitukselta edellytetyt tiedot, joita ei ole annettu lle aikaisemmin aloitus- tai muutosilmoituksessa. Muutosilmoituksen määräaika laissa on 31.1.2017, mutta ilmoitukset suositellaan toimitettavaksi mahdollisimman aikaisessa vaiheessa, jotta ehtisi käsitellä ne ennen kuin luottamusverkostoa koskeva sääntely tulee sovellettavaksi. merkitsee verkkosivuillaan ylläpitämäänsä rekisteriin seuraavat tiedot - tiedon vahvan sähköisen tunnistuspalvelun tarjoamisen jatkamisesta - tiedon vahvan sähköisen tunnistuspalvelun tarjoamisen lakkaamisesta ja palveluntarjoajan poistamisesta rekisteristä - tunnistusvälineen varmuustason Harkinnan mukaan merkitsee rekisteriin seuraavat tiedot

Ohje 12 (24) 2.4 Tunnistuspalvelun lopetusilmoitus 2.4.1 Ilmoituksessa annettavat tiedot 2.4.2 Julkiset rekisterimerkinnät - uusia vaatimuksia ja tarkastuskertomusta koskevan muutosilmoituksen vireilläolo Tunnistuspalvelun tarjoamisen lopettamista koskeva ilmoitus täytyy toimittaa lle viipymättä eli viimeistään silloin, kun päätös tunnistuspalvelun lopettamisesta on tehty. Ilmoituksessa täytyy antaa ainakin seuraavat tiedot 1) ajankohta, jolloin palvelun tarjoaminen lakkaa (päivämäärä, jolloin uusien tunnistusvälineiden myöntäminen päättyy, ja päivämäärä, jolloin myönnettyjen tunnistusvälineiden ylläpito päättyy tai milloin välityspalvelun toiminta lakkaa) 2) tiedot siitä, miten ja milloin käyttäjiä (välineen tarjoaja), luottamusverkostoa (välineen ja välityspalvelun tarjoaja) ja luottavia osapuolia (välityspalvelun tarjoaja) on tiedotettu tai tiedotetaan tunnistuspalvelun lopettamisesta 3) miten tunnistus- ja luottamuspalvelulain 24 :n mukaisesta ja luottamusverkoston käytännesääntöjen mukaisesta tietojen säilyttämisestä huolehditaan toiminnan lopettamisen jälkeen Jos tunnistuspalveluntarjoajan toiminta siirtyy toiselle yritykselle tai yhteisölle liiketoiminnan siirtona tai yritysjärjestelyissä, tiedot annetaan muutosilmoituksena. merkitsee rekisteriin - tiedon lopetusilmoituksen vireilläolosta - tiedon toiminnan lopettamisesta ja sen ajankohdasta ja palveluntarjoajan poistamisesta rekisteristä 3 Tunnistusvälineen notifiointi EU:lle 3.1 Notifioinnissa annettavat tiedot Jos tunnistusvälineen tarjoaja haluaa notifioida tunnistusmenetelmänsä EU:n komissiolle, tekee notifioinnin yhteistyössä tunnistuspalvelun tarjoajan kanssa. Tunnistuksenvälityspalveluita ei notifioida, mutta tieto niistä harkitaan sisällytettäväksi ainakin yleisellä tasolla menetelmän notifiointiin.

Ohje 13 (24) Notifioinnissa annettavista tiedoista säädetään komission täytäntöönpanopäätöksessä (EU) 2015/1984 (nk. notifiointimenettelypäätös) olosuhteiden, muotoseikkojen ja menettelyjen määrittelemisestä sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 9 artiklan 5 kohdan mukaisesti. Notifiointiin liittyy mahdollinen ETA-alueen jäsenvaltioiden edustajien tekemä vertaisarviointi, joka kestää kokonaisuudessaan noin kuusi kuukautta. Vertaisarvioinnin puitteista säädetään komission täytäntöönpanopäätöksessä (EU) 2015/296 menettelyä koskevien järjestelyjen vahvistamisesta sähköiseen tunnistamiseen liittyvää jäsenvaltioiden välistä yhteistyötä varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 7 kohdan mukaisesti. Seuraavassa taulukossa kuvataan esimerkkiaikataulu vertaisarvioinnista. Aikataulu perustuu jäsenvaltioiden yhteistyöverkoston keskeneräiseen työpaperiin Aika Toimenpide(piteet) Säännös Päivä 1 Ennakkoilmoitus eidas art. 7(g) Viikko 1 Pyyntö vertaisarvioinnin tekemisestä Komission täytäntöönpanopäätös 2015/296 art. 8(1), Viikot 1-4 Viikot 5-6 Viikko 7 Viikko 8 Jäsenvaltion aikomus osallistua vertaisarviointiin Ilmoittavan ja mahdollisten vertaisarviointiin osallistuvien jäsenvaltioiden keskustelut Sopimus vertaisarvioinnin kohdealueesta Jäsenvaltiot nimeävät arvioijansa Yhteistyöverkoston kokous ohjeet vertaisarviointiin Ilmoittava jäsenvaltio tiedottaa yhteistyöverkostolle vertaisarviointia koskevasta sopimisesta arviointiin osallistuvien jäsenvaltioiden kanssa Komission täytäntöönpanopäätös 2015/296 art. 8(3) (1 kuukausi) Komission täytäntöönpanopäätös 2015/296 art. 9 Komission täytäntöönpanopäätös 2015/296 art. 9(2) Komission täytäntöönpanopäätös 2015/296 art. 9(2) Viikot 8-21 Vertaisarviointi Komission täytäntöönpanopäätös 2015/296 art. 10 - vertaisarvioinnin enimmäiskesto 3 kuukautta

Ohje 14 (24) Viikko 25 Viikko 26 Raportti vertaisarvioinnista yhteistyöverkostolle Yhteistyöverkoston kanta Mahdollinen lisätietopyyntö Komission täytäntöönpanopäätös 2015/296 art. 11 Komission täytäntöönpanopäätös 2015/296 art. 14 (i); Komission täytäntöönpanopäätös 2015/296 art. 11 4 Hyväksytyt luottamuspalvelut 4.1 Hyväksytyn luottamuspalvelun aloitusilmoitus 4.1.1 Ilmoituksessa annettavat tiedot SÄÄNNÖKSET, eidas-asetus 21 artikla Hyväksytyn luottamuspalvelun aloittaminen 1. Jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä luottamuspalveluja, niiden on toimitettava valvontaelimelle ilmoitus aikomuksestaan yhdessä vaatimustenmukaisuuden arviointilaitoksen myöntämän vaatimustenmukaisuuden arviointikertomuksen kanssa. 2. Valvontaelin tarkastaa, täyttävätkö luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut tässä asetuksessa säädetyt vaatimukset ja erityisesti hyväksyttyjä luottamuspalvelun tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja koskevat vaatimukset. [ ] Jos tarkastusta ei saada päätökseen kolmen kuukauden kuluessa ilmoituksesta, valvontaelimen on ilmoitettava asiasta luottamuspalvelun tarjoajalle ja yksilöitävä viivästyksen syyt ja ajanjakso, jonka aikana tarkastus on saatava päätökseen. [ ] Uusi luottamuspalvelun tarjoaja Ilmoituksen palvelun tarjoamisesta voi tehdä lle eidas-asetuksen mukaisesti milloin tahansa jälkeen. Käytännössä viivettä aiheuttanee kuitenkin se, että ilmoitukseen on liitettävä akkreditoidun ja hyväksytyn vaatimustenmukaisuuden arviointilaitoksen arviointikertomus. Suomessa ei ole toistaiseksi tietoa arviointilaitoksen syntymisestä. välittää toimijoille ja virastosta kannattaa myös kysyä muista maista saatua ajantasaista tietoa arviointilaitoksista.

Ohje 15 (24) Ilmoituksessa annettavia tietoja 1) yrityksen tai yhteisön nimi ja yksilöivä rekisterinumero tai -tunnus 2) postiosoite ja yhteyshenkilöt 3) sähköpostiosoitteet hallinnollisia, teknisiä ja häiriötilanteita koskevia n tiedusteluja varten ja laskutusta varten 4) tarjottavan luottamuspalvelun tyyppi o hyväksytty sähköisen allekirjoituksen varmenne (eidas-asetus 28 artikla) o hyväksytty validointipalvelu hyväksytylle sähköiselle allekirjoitukselle (eidas-asetus 33 artikla) o hyväksytty säilyttämispalvelu hyväksytylle sähköiselle allekirjoitukselle (eidas-asetus 34 artikla) o hyväksytty sähköisen leiman varmenne (eidasasetus 38 artikla) o hyväksytty sähköinen aikaleima (eidas-asetus 42 artikla) o hyväksytty sähköinen rekisteröity jakelupalvelu (ei- o DAS-asetus 44 artikla) verkkosivujen todentamisen hyväksytty varmenne (eidas-asetus 45 artikla) 5) allekirjoitus- ja leimavarmenteiden osalta sulkulistapalvelun yhteystiedot 4.1.2 Vaatimustenmukaisuuden arviointilaitoksen laatima arviointikertomus Ks. ohje 215/2016 O 4.1.3 Luotettu luettelo ja n verkkosivut SÄÄNNÖKSET, eidas-asetus 21 artikla Hyväksytyn luottamuspalvelun aloittaminen [ ] Jos valvontaelin päättää, että luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut täyttävät ensimmäisessä alakohdassa tarkoitetut vaatimukset, valvontaelimen on myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava asiasta 22 artiklan 3 kohdassa tarkoitetulle elimelle 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten viimeistään kolmen kuukauden kuluttua tämän artiklan 1 kohdan mukaisesta ilmoituksesta. [ ]

Ohje 16 (24) 3. Hyväksytyt luottamuspalvelun tarjoajat voivat ryhtyä tarjoamaan hyväksyttyä luottamuspalvelua sen jälkeen kun hyväksytty asema on merkitty 22 artiklan 1 kohdassa tarkoitettuihin luotettuihin luetteloihin. [ ] eidas-asetus 22 artikla Luotetut luettelot 1. Kunkin jäsenvaltion on laadittava, ylläpidettävä ja julkaistava luotettuja luetteloja, jotka sisältävät tietoa niiden vastuulle kuuluvista hyväksytyistä luottamuspalvelun tarjoajista ja niiden tarjoamista hyväksytyistä luottamuspalveluista. 2. Jäsenvaltioiden on laadittava, ylläpidettävä ja julkaistava suojatusti 1 kohdassa tarkoitetut sähköisesti allekirjoitetut tai leimatut luotetut luettelot muodossa, joka soveltuu automaattiseen käsittelyyn. 3. Jäsenvaltioiden on ilman aiheetonta viivytystä ilmoitettava komissiolle tiedot kansallisten luotettujen luettelojen laatimisesta, ylläpitämisestä ja julkaisemisesta vastaavasta elimestä sekä yksityiskohtaiset tiedot tällaisten luettelojen julkaisupaikasta, luotettujen luettelojen allekirjoittamisessa tai leimaamisessa käytetyistä varmenteista ja niiden tietojen mahdollisista muutoksista. 4. Komissio asettaa julkisesti saataville suojatusti 3 kohdassa tarkoitetut tiedot sähköisesti allekirjoitetussa tai leimatussa muodossa, joka soveltuu automaattiseen käsittelyyn. 5. Komissio täsmentää viimeistään 18 päivänä syyskuuta 2015 täytäntöönpanosäädöksillä 1 kohdassa tarkoitetut tiedot ja määrittelee 1 4 kohdan soveltamiseen liittyvät luotettujen luetteloiden tekniset eritelmät ja muotoseikat. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio on antanut eidas-asetuksen 22.5 artiklan nojalla täytäntöönpanopäätöksen (EU) 2015/1505 luotettujen luetteloiden teknisten eritelmien ja muotoseikkojen vahvistamisesta. Täytäntöönpanopäätöksessä vaaditut eritelmät palveluista perustuvat ETSIn tekniseen eritelmään TS 119 612 v2.1.1. On hyvä huomata, että kyseisen dokumentin uudemmassa versiossa on allekirjoituspalveluihin liittyviä eritelmiä sellaisille palveluille, joita komissio ei hyväksy luotettuun luetteloon, koska ne eivät ole eidas-asetuksen määritelmien mukaisia. ylläpitää luotettua luetteloa komission täytäntöönpanopäätöksen mukaisesti. Lisäksi julkaisee verkkosivuillaan tekstimuotoisen tiedon hyväksytyistä luottamuspalveluista ja näiden tarjoajista.

Ohje 17 (24) Aikaisemman säädännön nojalla luettelossa ovat VRK:n tarjoamat allekirjoitusvarmenteet (vanhan säädännön mukainen termi laatuvarmenne). Luettelo ja verkkosivut tullaan päivittämään. https://www.viestintavirasto.fi/kyberturvallisuus/sa hkoinentunnistaminenjaallekirjoitus/rekisterilaatuvarmenteitatarjoavistavarmentajist a.html Suomessa luotettuun luetteloon ei merkitä muita kuin eidasasetuksen mukaisia hyväksyttyjä luottamuspalveluita. 4.2 Ennen luotettuun luetteloon merkityn toimijan ilmoitukset 4.2.1 Ilmoituksessa annettavat tiedot SÄÄNNÖKSET, eidas-asetus 51 artikla Siirtymätoimenpiteet 1. Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä sähköisen allekirjoituksen luontivälineinä. 2. Direktiivin 1999/93/EY mukaisesti luonnollisille henkilöille myönnettyjä hyväksyttyjä varmenteita pidetään tämän asetuksen mukaisina sähköisten allekirjoitusten hyväksyttyinä varmenteina niiden voimassaolon päättymiseen saakka. 3. Direktiivin 1999/93/EY mukaisen hyväksyttyjä varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017. Kyseistä varmennepalvelujen tarjoajaa pidetään tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana siihen saakka, kun vaatimustenmukaisuuden arviointikertomus on toimitettu ja valvontaelin on saattanut loppuun sen arvioinnin. 4. Jos direktiivin 1999/93/EY mukainen hyväksyttyjä varmenteita myöntävä varmennepalvelujen tarjoaja ei toimita valvontaelimelle vaatimustenmukaisuuden arviointikertomusta 3 kohdassa tarkoitetussa määräajassa, kyseistä varmennepalvelujen tarjoajaa ei pidetä tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana 2 päivästä heinäkuuta 2017. Ohjeistetaan tarvittaessa. 4.2.2 Luotettu luettelo ja n verkkosivut Ks. kohta 3.1.3

Ohje 18 (24) 4.3 Hyväksytyn luottamuspalvelun muutosilmoitus 4.3.1 Ilmoituksessa annettavat tiedot SÄÄNNÖKSET, eidas-asetus 20 artikla Hyväksyttyjen luottamuspalvelun tarjoajien valvonta 1. Vaatimustenmukaisuuden arviointilaitoksen on tarkastettava hyväksytyt luottamuspalvelun tarjoajat vähintään 24 kuukauden välein niiden omalla kustannuksella. Tarkastuksen tarkoituksena on vahvistaa, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Hyväksyttyjen luottamuspalvelun tarjoajien on toimitettava tarkastuksen perusteella laadittava vaatimustenmukaisuuden arviointikertomus valvontaelimelle kolmen työpäivän kuluessa sen vastaanottamisesta. 2. Valvontaelin voi milloin tahansa tehdä hyväksytyille luottamuspalvelun tarjoajille tarkastuksia tai pyytää vaatimustenmukaisuuden arviointilaitosta suorittamaan hyväksyttyjä luottamuspalvelun tarjoajia koskevan vaatimustenmukaisuuden arvioinnin näiden hyväksyttyjen luottamuspalvelun tarjoajien kustannuksella sen vahvistamiseksi, että ne ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Jos näyttää siltä, että henkilötietojen suojaan liittyviä sääntöjä on rikottu, valvontaelimen on ilmoitettava tarkastustensa tuloksista tietosuojaviranomaisille. [ ] eidas-asetuksessa käsitellään nimenomaisesti ainoastaan säännöllistä vaatimustenmukaisuuden arviointia ja arviointikertomuksen toimittamista valvovalle viranomaiselle. Vähintään kahden vuoden välein toimitettavan arviointikertomuksen lisäksi palveluntarjoajan täytyy ilmoittaa, jos kohdassa 3.1.1 annetuissa tiedoissa tapahtuu muutoksia. Jos muutokset liittyvät sellaisiin seikkoihin, jotka ovat vaikuttaneet vaatimustenmukaisuuden arviointilaitoksen tekemään arvioon palveluntarjoajan tai luottamuspalvelun vaatimustenmukaisuudesta, palveluntarjoajan on arvioitava, onko vaatimustenmukaisuuden arviointilaitoksen tarpeen arvioida muutos. Muutostilanteessa tulee eidas-asetuksen 20.2 artiklan valossa kysymykseen myös se, että pyytää vaatimustenmukaisuuden arviointilaitosta arvioimaan vaatimustenmukaisuuden muutostilanteessa. Jos sama palveluntarjoaja tarjoaa useampaa hyväksyttyä luottamuspalvelua ja lopettaa tarjoamasta jotain näistä, palveluntarjoaja tekee lle lopetettavaa palvelua koskevan lopetusilmoituksen luvun 4.4. mukaisesti.

Ohje 19 (24) ei tässä vaiheessa laadi asiasta tarkempaa ohjeistusta vaan seuraa kansainvälistä soveltamiskäytäntöä ja tarkastelee asiaa tarvittaessa yhdessä toimijoiden ja arviointilaitosten kanssa. 4.3.2 Luotettu luettelo ja n verkkosivut Ks. kohta 3.1.3. 4.4 Hyväksytyn luottamuspalvelun lopetusilmoitus 4.4.1 Ilmoituksessa annettavat tiedot Lopettamisilmoituksessa on annettava ainakin seuraavat tiedot 1) minkä hyväksyttyjen luottamuspalveluiden tarjoaminen lopetetaan 2) tarjoamisen tai toiminnan lopettamisen ajankohta 3) [täydennetään] 4.4.2 Luotettu lista ja n verkkosivut Ks. kohta 3.1.3. toimittaa komissiolle päivitetyn luotetun luettelon ja merkitsee tiedon palveluntarjoajan tai palvelun lopettamisesta verkkosivuilleen. 5 Hyväksytyn ja ei-hyväksytyn luottamuspalvelun häiriöilmoitus SÄÄNNÖKSET, eidas-asetus 19 artikla Luottamuspalvelun tarjoajiin sovellettavat tietoturvavaatimukset 1. Hyväksyttyjen ja ei-hyväksyttyjen luottamuspalvelun tarjoajien on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet hallitakseen tarjoamiensa luottamuspalvelujen tietoturvaan kohdistuvat riskit. Näillä toimenpiteillä on voitava varmistaa riskiin suhteutettu tietoturvataso, ottaen huomioon uusin tekninen kehitys. Erityisesti on toteutettava toimenpiteet tietoturvapoikkeamien vaikutusten ehkäisemiseksi ja minimoimiseksi sekä tällaisten mahdollisten poikkeamien haittavaikutusten ilmoittamiseksi sidosryhmille. 2. Hyväksyttyjen ja ei-hyväksyttyjen luottamuspalvelun tarjoajien on ilman aiheetonta viivytystä mutta joka tapauksessa 24 tunnin kuluessa siitä, kun asia on tullut niiden tietoon, ilmoitettava valvontaelimelle ja tarvittaessa muille asianomaisille elimille, kuten toimivaltaiselle tietoturvasta vastaavalle kansalliselle elimelle tai tietosuojaviranomaiselle, kaikista tietoturvaloukkauksista ja eheyden menetyksistä, joilla on huomattavia vaikutuksia tarjottuun luottamuspalveluun tai sen puitteissa ylläpidettyihin henkilötietoihin. Jos on todennäköistä, että tietoturvaloukkaus tai eheyden menetys vaikuttaa haitallisesti luonnolliseen henkilöön tai oikeushenkilöön, jolle luottamuspalvelu on tarjottu, luottamuspalvelun tarjoajan on myös tiedotettava luonnolliselle

Ohje 20 (24) henkilölle tai oikeushenkilölle tietoturvaloukkauksesta tai eheyden menetyksestä ilman aiheetonta viivytystä. Tarvittaessa ja erityisesti silloin, kun tietoturvaloukkaus tai eheyden menetys koskee kahta tai useampaa jäsenvaltiota, ilmoitetun valvontaelimen on tiedotettava asiasta muiden asianomaisten jäsenvaltioiden valvontaelimille ja ENISAlle. Ilmoitetun valvontaelimen on tiedotettava asiasta yleisölle tai vaadittava luottamuspalvelun tarjoajaa tiedottamaan siitä, jos se katsoo, että tietoturvaloukkauksen tai eheyden menetyksen julkistaminen on yleisen edun mukaista. 3. Valvontaelimen on toimitettava ENISAlle kerran vuodessa tiivistelmä luottamuspalvelun tarjoajilta saamistaan tietoturvaloukkausta tai eheyden menetystä koskevista ilmoituksista. [ ] ENISA on laatimassa ohjeita tietoturvauhkien ja -häiriöiden merkittävyyden arvioinnista. Ohjeiden on tarkoitus valmistua syys-lokakuussa 2016. on välittänyt suomalaisille tunnistus- ja luottamuspalvelutyöryhmään ilmoittautuneille toimijoille seuraavat luonnokset ohjeista mahdollista kommentointia varten. Enisa draft april2016 Assets_and_services_2.3 Enisa draft april2016 Impact scenarios_2.2 Tätä n ohjetta häiriöilmoituksista tarkennetaan vasta, kun ENISAn ohjeet ovat valmistuneet. Toistaiseksi voidaan käyttää aikaisempaa häiriöilmoituslomaketta. Aikaisempi häiriöilmoituslomake löytyy n verkkosivuilta. https://www.viestintavirasto.fi/asioikanssamme/ilmoituksetjam uutlomakkeet/tietoturvailmoituksetja-hakemukset.html Häiriöilmoituslomaketta ei ole ehditty päivittää uuden säädännön vaatimusten mukaiseksi ja on hyvä huomata, että palveluntarjoajaa koskevien tietojen, tapahtumakuvauksen ja korjaustoimenpiteiden lisäksi on tärkeää yksilöidä, mitä luottamuspalvelua häiriöilmoitus koskee. Velvollisuus ilmoittaa tietoturvaloukkauksista koskee sekä hyväksyttyjä että ei-hyväksyttyjä luottamuspalveluita.

Ohje 21 (24) Hyväksyttyjä luottamuspalveluja ovat toistaiseksi eidasasetuksen siirtymäsäännöksen nojalla VRK:n allekirjoitusvarmenteet. Ei-hyväksyttyjä luottamuspalveluja voivat olla kohdassa 4.1.1 luetellut palvelutyypit, joille olisi mahdollista hankkia hyväksyntä eli hyväksytty sähköisen allekirjoituksen varmenne, hyväksytty validointipalvelu hyväksytylle sähköiselle allekirjoitukselle, hyväksytty säilyttämispalvelu hyväksytylle sähköiselle allekirjoitukselle, hyväksytty sähköisen leiman varmenne, hyväksytty sähköinen aikaleima, hyväksytty sähköinen rekisteröity jakelupalvelu ja verkkosivujen todentamisen hyväksytty varmenne. Lisäksi ei-hyväksyttyjä luottamuspalveluja voivat olla seuraavat palvelut, jotka komission luotettuja luetteloita koskevan täytäntöönpanopäätöksen mukaan voitaisiin merkitä luotettuun luetteloon ei-hyväksyttyinä luottamuspalveluina (ks. ETSI TS 119 612). 6 Akkreditoitu vaatimustenmukaisuuden arviointilaitos 6.1 Hakemus hyväksynnästä 6.1.1 Hakemuksessa annettavat tiedot SÄÄNNÖKSET 35 Hakemus vaatimustenmukaisuuden arviointilaitokseksi Vaatimustenmukaisuuden arviointilaitos hyväksytään hakemuksen perusteella. Hakemukseen on liitettävä hakijaa ja sen toimintaa koskevat tiedot, joiden perusteella voidaan arvioida 33 :ssä tarkoitettujen edellytysten täyttyminen. voi hakemusta käsiteltäessä hankkia lausuntoja sekä antaa hakemuksen ja siinä esitettyjen tietojen arvioimisen ulkopuolisille asiantuntijoille. Hakemuksessa on annettava vähintään seuraavat tiedot 1) yrityksen yksilöinti- ja yhteystiedot sekä yhteyshenkilöt arviointilaitoksen valvontaa ja arviointia koskevaa tiedonvaihtoa varten 2) tiedot siitä, mitä luottamuspalveluja arviointilaitos on pätevä arvioimaan 3) tiedot tunnistus- ja luottamuspalvelulain 37 :n vaatimusten täyttämisestä (siltä osin, kun tiedot eivät sisälly akkreditoinnissa tehtyyn arviointiin)

Ohje 22 (24) 6.1.2 Hakemuksen liitteet 1) Selvitys FINASin tai muun ETA-alueen akkreditointiyksikön myöntämästä akkreditoinnista. 2) Selvitys siitä, miten arviointilaitos huolehtii arvioitavan tietojen käsittelystä ja tiedonsaannista, oikeudesta hakea oikaisua arviointiin sekä mahdollisuudesta käyttää eri kieliä (yleiskuvaus prosessista ja vastuutuksesta) 6.1.3 Tietojen julkaisu julkaisee verkkosivuillaan seuraavat tiedot: 1) yrityksen nimi ja yhteystiedot 2) yritys on akreditoitu ja hyväksytty vaatimustenmukaisuuden arviointilaitos 3) mitä luottamuspalveluja arviointilaitoksen pätevyys kattaa 6.2 Muutos- tai lopetusilmoitus Täydennetään tarvittaessa. 7 LIITTEET 7.1 LIITE 1 Taulukko tunnistuspalvelua koskevat ilmoitukset. Lihavoitu ne, joissa lla on määräysvaltuus. sisäinen tarkastuslaitos Aloitusilmoitus Tunnistuspalvelu (väline) TunnL 10 ohje kohta 2.1 lomake (päivittämättä) mm. selvitys arviointielimen pätevyydestä TunnL 10 ohje kohta 2.1 mm. selvitys arviointielimen pätevyydestä Kansallinen solmupiste (PEPS) ei ilmoitusta Tunnistuspalvelu (välitys) Arviointilaitos (EY) 765/2008 lomake (päivittämättä) perustaminen hakemuksella FINASille ja Viville, muutoin kuten ulkoinen arviointielin ulkoinen arviointielin TunnL 10 ohje kohta 2.1: ei itsenäistä ilmoitusta, tiedot sisällytetään tunnistuspalvelun ilmoitukseen TunnL 10 ohje kohta 2.1: ei itsenäistä ilmoitusta, tiedot sisällytetään tunnistuspalvelun ilmoitukseen Muutosja lopetusilmoitus TunnL 10 ohje kohta 2.2 ja 2.4 TunnL 10 ohje kohta 2.2 ja 2.4 ei ilmoitusta ohje kohta 2.2: tarvittaessa TunnL 10 ohje kohta 2.2: ei itsenäistä ilmoitusta, tiedot sisällytetään tunnistus- TunnL 10 ohje kohta 2.2: ei itsenäistä ilmoitusta, tiedot sisällytetään

Ohje 23 (24) EU - notifiointi tai muu Eidas 9 artikla + Komission täytäntöönpanopäätös (EU) 2015/1984 (sis. lomakkeen) + soveltamisohje (tulossa) ohje kohta 3 ohje kohta 3: ei itsenäistä notifiointia, tietojen sisällyttämistä välineen notifiointiin harkittava, jos kvvälitys kulkee välityspalvelun kautta ohje kohta 3: ei itsenäistä ilmoitusta, mutta tiedot osa välineen notifiointia (EU) 2015/1984 4.3 Komission täytäntöönpanopäätös (EU) 2015/1501 (ks. 4 art) ohje kohta 3: ei itsenäistä eidasnotifiointia, mutta tiedot auditoinneista osa välineen notifointia (EU) 2015/1984 4.2.4 g ohje kohta 3: ei itsenäistä notifiointia, mutta tiedot auditoinneista osa välineen notifointia (EU) 2015/1984 4.2.4 g palvelun ilmoitukseen tunnistuspalvelun ilmoitukseen ohje kohta 3: ei itsenäistä notifiointia, mutta tiedot auditoinneista osa välineen notifointia (EU) 2015/1984 4.2.4 g Häiriöilmoitus lle Häiriöilmoitus EU:lle/m uille jäsenvaltioille n rekisteri TunnL 16 + M72 11 lomake (päivittämättä) Eidas 10 artikla kv-vaikutteinen häiriö ja/tai VRK keskeyttää välityksen ja ilmoittaa TunnL 12 ohje kohta 2.1.4, 2.2.2, 2.3.2 ja 2.4.2 EU:n lista Eidas 9.2-3 art.: ilmoitus Euroopan unionin virallisessa lehdessä TunnL 16 + M72 11 lomake (päivittämättä) Eidas 10 artikla kvvaikutteinen häiriö ja/tai VRK keskeyttää välityksen ja ilmoittaa TunnL 12 ei säädetty, VRK:n ja Vivin sopima menettely Eidas 10 artikla kvvaikutteinen häiriö ei ei ei ei ei ei ja/tai VRK keskeyttää välityksen ja ilmoittaa ei ei säädetty ei ei ohje kohta 2.1.4, 2.2.2, 2.3.2 ja 2.4.2 ei ei mahdollisesti asetuksen 765/2008 mukainen lista ei ei 7.2 LIITE 2 Taulukko: luottamuspalveluita ja arviointilaitoksia koskevat ilmoitukset Lihavoitu ne, joissa lla on määräysvaltuus

Ohje 24 (24) Ei-hyväksytty luottamuspalvelu Aloitusilmoitus ei eidas 21 art. Muutos- ja lopetusilmoitus EU - luotettu luettelo (trusted list) tai muu Häiriöilmoitus viestintävirastolle ei ei Eidas 19 artikla sama lomake kuin hyväksytyillä Hyväksytty luottamuspalvelu ohje kohta 4.1 lomake (päivittämättä) eidas 20 art. ohje kohta 4.3 ja 4.4. eidas 22.3-4 art. Komission täytäntöönpanopäätös (EU) 2015/1505 luotettujen luettelojen teknisistä eritelmistä (trusted list) eidas 19 art. ohje kohta 5 Arviointilaitos (EY) 765/2008 TunnL 33 ja 34 + M72 ohje kohta 6.1 hakemus akkreditoinnista FINA- Sille ja hyväksymisestä lle TunnL 33 ohje kohta 6.2.: tarvittaessa selvitetään tietolähteet, kansalliset akkreditointiyksiköt ylläpitävät omia listoja ei Häiriöilmoitus EU:lle Eidas 19.2 art: tilannekohtainen ilmoitus ENISAlle ja jäsenvaltioiden valvontaelimille Eidas 19.2 art: tilannekohtainen ilmoitus ENISAlle ja jäsenvaltioiden valvontaelimille ei Eidas 19.3 art: n vuositiivistelmä ENISAlle Eidas 19.3 art: n vuositiivistelmä ENISAlle Enisan ohjeet tekeillä (valmistunevat lokakuussa 2016) Enisan ohjeet tekeillä (valmistunevat lokakuussa 2016) n luotettu lista ei Eidas 22.1-2 art. konekielinen luotettu lista ja tieto verkkosivuilla ei Komission täytäntöönpanopäätös (EU) 2015/1505 luotettujen luettelojen teknisistä eritelmistä (trusted list)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute