16.3.2013

NL

Publicatieblad van de Europese Unie

L 74/30

---

BESLUIT VAN DE EUROPESE CENTRALE BANK

van 11 januari 2013

tot vaststelling van het kader voor een publieke sleutelinfrastructuur voor het Europees Stelsel van centrale banken

(ECB/2013/1)

(2013/132/EU)

DE RAAD VAN BESTUUR VAN DE EUROPESE CENTRALE BANK,

Gezien het Verdrag betreffende de werking van de Europese Unie, inzonderheid artikel 127,

Gezien de statuten van het Europees Stelsel van centrale banken en van de Europese Centrale Bank (hierna de „ESCB-statuten”), inzonderheid artikel 12.1 juncto artikel 3.1, artikel 5, artikel 12.3 en artikel 16 tot en met 24,

Overwegende hetgeen volgt:

(1)

Op grond van artikel 12.1 van de ESCB-statuten stelt de Raad van bestuur de richtsnoeren vast en neemt hij de besluiten die nodig zijn voor het vervullen van de bij het Verdrag en de ESCB-statuten aan het Europees Stelsel van centrale banken (ESCB) en het Eurosysteem opgedragen taken. Dit omvat de bevoegdheid besluiten te nemen betreffende de organisatie van ondersteunende activiteiten die nodig zijn voor het vervullen van dergelijke taken, zoals de uitgifte en het beheer van elektronische certificaten voor het beveiligen van in elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem opgeslagen en verwerkte informatie, en voor de communicatie van gegevens naar en van dergelijke toepassingen, systemen, platforms en diensten.

(2)

Op grond van artikel 12.3 van de ESCB-statuten heeft de Raad van bestuur ook de bevoegdheid de interne organisatie van de Europese Centrale Bank (ECB) en haar besluitvormende organen te regelen. Dienovereenkomstig heeft de Raad van bestuur de bevoegdheid te besluiten dat de ECB gebruik zal maken van elektronische certificaten uitgegeven door de eigen publieke sleutelinfrastructuur van het Eurosysteem.

(3)

Een toenemend aantal gebruikers heeft toegang tot een groeiend aantal voortdurend in ontwikkeling zijnde elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem. De Raad van bestuur heeft vastgesteld dat er behoefte bestaat aan geavanceerde informatiebeveiligingsdiensten, zoals betrouwbare authenticatie, elektronische handtekeningen en versleuteling, via het gebruik van elektronische certificaten.

(4)

Slechts weinig centrale banken van het ESCB hebben hun eigen publieke sleutelinfrastructuur en veel gebruikers van derden die samen met centrale banken van het ESCB werken, ontberen gemakkelijke toegang tot een certificeringsautoriteit die door het ESCB is geaccepteerd overeenkomstig diens kader voor de acceptatie van certificaten.

(5)

Het Eurosysteem dient zijn eigen publieke sleutelinfrastructuur te creëren waarmee alle typen elektronische certificaten kunnen worden uitgegeven zoals persoonlijke en technische certificaten voor gebruikers van binnen en buiten het ESCB, en die voldoende flexibel is om zich aan te passen aan ontwikkelingen in elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem. Deze publieke sleutelinfrastructuur (hierna de „ESCB-PKI”) dient ter aanvulling van de diensten die worden verleend door andere certificeringsautoriteiten die door het ESCB zijn geaccepteerd conform het ESCB-kader voor de acceptatie van certificaten, of die worden verleend door certificeringsautoriteiten die door het ESCB voor TARGET2- en TARGET2-Securities zijn geaccepteerd voor die twee toepassingen.

(6)

Op 29 september 2010 heeft de Raad van bestuur besloten het ESCB-PKI-project voor de constructie en implementatie van de ESCB-PKI te lanceren en de daarvoor benodigde middelen te verstrekken. Die raad heeft besloten dat de ontwikkeling, hosting en exploitatie van de ESCB-PKI zal worden verzorgd door de Banco de España.

(7)	De ESCB-PKI ondersteunt indirect de vervulling van de taken van het ESCB en het Eurosysteem. Het bestuur ervan is gebaseerd op drie niveaus: niveau 1 bestaat uit de Raad van bestuur en de directie, niveau 2 uit de centrale banken van het Eurosysteem en niveau 3 uit de verstrekkende centrale bank.

(8)

Op niveau 1 is de Raad van bestuur verantwoordelijk voor de leiding, het beheer en de controle van de activiteiten en te leveren diensten die nodig zijn voor de ontwikkeling en exploitatie van de ESCB-PKI. Die raad is ook verantwoordelijk voor besluitvorming met betrekking tot de ESCB-PKI en besluit over de toewijzing van taken die niet specifiek zijn toegewezen aan niveau 2 en 3.

(9)	De centrale banken van het Eurosysteem zijn verantwoordelijk voor de aan niveau 2 toegewezen taken, binnen het door de Raad van bestuur vastgestelde algemene kader. Ze hebben bevoegdheden betreffende de technische middelen voor de implementatie van de ESCB-PKI.

(10)

Het Comité informatietechnologie (ITC) van het ESCB heeft een sturende rol in de ontwikkeling van de ESCB-PKI. Het begeleidt, beoordeelt, controleert en verleent goedkeuring aan de te leveren diensten van het project volgens de acceptatiecriteria conform het ESCB-kader voor de acceptatie van certificaten, en volgens het door de Raad van bestuur goedgekeurde toepassingsgebied en schema.

(11)

Op niveau 3 is de Banco de España aangesteld als de verstrekkende centrale bank om de haar toegewezen taken uit te voeren binnen het door de Raad van bestuur vastgestelde algemene kader. De verstrekkende centrale bank beschikt over de technische infrastructuur en veilige instrumenten en diensten die nodig zijn voor het tot stand brengen en gebruiken van een publieke sleutelinfrastructuur in overeenstemming met: a) de nationale wet tot omzetting van Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (1), voor zover van toepassing; b) de nationale wet tot omzetting van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (2), voor zover van toepassing; en c) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (3).

(12)

Omdat elektronische certificaten essentiële elementen zijn die in elektronische toepassingen zowel worden gebruikt als een authenticatiemechanisme voor de effectuering van elektronische handtekeningen, als voor versleuteling op basis van een openbare sleutel, zal de ESCB-PKI rekening houden met bestaande elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem en met lopende ESCB-projecten om te zorgen dat de behoeften daarvan worden gedekt.

(13)	Niet tot het eurogebied behorende nationale centrale banken (NCB's) kunnen besluiten de door de ESCB-PKI verstrekte certificaten en diensten te gebruiken,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

Definities

Voor de toepassing van dit besluit wordt verstaan onder:

1.   „certificaat” of „elektronisch certificaat”: een door een certificeringsautoriteit uitgegeven elektronisch bestand dat een openbare sleutel verbindt aan de identiteit van de intekenaar op een certificaat en voor alle of sommige van de volgende doeleinden wordt gebruikt: a) om te verifiëren dat een openbare sleutel aan de intekenaar op een certificaat toebehoort; b) om de authenticiteit van de intekenaar op een certificaat vast te stellen; c) om de handtekening van de intekenaar op het certificaat te controleren; d) om een aan de intekenaar op een certificaat gericht bericht te versleutelen; e) om de toegangsrechten van de intekenaar op een certificaat tot elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem te controleren. Een verwijzing in dit besluit naar een certificaat of elektronisch certificaat is tevens een verwijzing naar de gegevensdragers waarop het certificaat of elektronische certificaat wordt bewaard;

2.   „elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem”: de elektronische toepassingen, systemen, platforms en diensten die het ESCB en/of het Eurosysteem gebruiken bij de uitvoering van de aan hen bij het Verdrag en de ESCB-statuten opgedragen taken;

3.   „publieke sleutelinfrastructuur”: de verzameling natuurlijke personen, beleidslijnen, procedures en computersystemen die nodig is voor het verlenen van diensten betreffende authenticatie, versleuteling, integriteit en onweerlegbaarheid door middel van asymmetrische cryptografie (met een openbare sleutel en een privésleutel) en elektronische certificaten;

4.   „gebruiker”: de intekenaar op een certificaat of een vertrouwende partij, of beiden;

5.   „authenticatie”: het proces ter vaststelling van de identiteit van de aanvrager van of intekenaar op een certificaat;

6.   „centrale bank van het ESCB”: een centrale bank van het Eurosysteem of een niet tot het eurogebied behorende NCB;

7.   „centrale bank van het Eurosysteem”: een NCB van een lidstaat die de euro als munt heeft, met inbegrip van de verstrekkende centrale bank, of de ECB;

8.   „verstrekkende centrale bank”: de door de Raad van bestuur aangestelde NCB om de ESCB-PKI te ontwikkelen en ESCB-PKI-diensten te verlenen namens en ten behoeve van de centrale banken van het Eurosysteem;

9.   „niet tot het eurogebied behorende NCB”: een NCB van een lidstaat die de euro niet als munt heeft;

10.   „ESCB-PKI-certificeringsautoriteit”: de door gebruikers vertrouwde entiteit voor de uitgifte, het beheer, de intrekking en vernieuwing van certificaten namens de centrale banken van het ESCB of de centrale banken van het Eurosysteem conform het ESCB-kader voor de acceptatie van certificaten;

11.   „ESCB-PKI-valideringsinstantie”: de door gebruikers vertrouwde entiteit die informatie verschaft over de geldigheid van door de ESCB-PKI-certificeringsautoriteit uitgegeven certificaten;

12.   „intekenaar op een certificaat”: een natuurlijke persoon die houder is van een elektronisch certificaat en aan wie een elektronisch certificaat is afgegeven, of een beheerder van technische onderdelen die een door de ESCB-PKI-certificeringsautoriteit voor een technisch onderdeel uitgegeven elektronisch certificaat heeft geaccepteerd, of beiden;

13.   „ESCB-kader voor de acceptatie van certificaten”: de door de ESCB-ITC vastgestelde criteria ter identificatie van de certificeringsautoriteiten, zowel binnen als buiten het ESCB, die kunnen worden vertrouwd met betrekking tot elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem;

14.   „registratieautoriteit”: een door gebruikers vertrouwde entiteit die de identiteit van een aanvrager van een certificaat verifieert voordat de ESCB-PKI-certificeringsautoriteit een certificaat afgeeft;

15.   „vertrouwende partij”: een natuurlijke persoon of een rechtspersoon met uitzondering van een intekenaar op een certificaat die een certificaat accepteert en daarop vertrouwt;

16.   „auditbeleid”: het ESCB-auditbeleid vastgesteld door de Raad van bestuur op 7 oktober 1998, zoals gepubliceerd op de website van de ECB (4);

17.   „aanvrager van een certificaat”: een natuurlijke persoon die om de afgifte van een certificaat verzoekt voor zichzelf of voor een technisch onderdeel;

18.   „technisch onderdeel”: software of hardware die kan worden geïdentificeerd met behulp van elektronische certificaten.

Artikel 2

Toepassingsgebied

1.   Dit besluit legt het kader vast voor de ESCB-PKI. De ESCB-PKI is de eigen publieke sleutelinfrastructuur van het Eurosysteem ontwikkeld door de verstrekkende centrale bank namens en ten behoeve van de centrale banken van het Eurosysteem, die certificaten afgeeft, beheert, intrekt en vernieuwt conform het ESCB-kader voor de acceptatie van certificaten.

2.   Aangezien ESCB-PKI-diensten invloed kunnen hebben op vertrouwende partijen, zet dit besluit ook de voorwaarden uiteen waaronder dergelijke partijen op ESCB-PKI-certificaten kunnen vertrouwen.

Artikel 3

Toepassingsgebied en doelstellingen van de ESCB-PKI

1.   Toegang tot en gebruik van elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem van gemiddelde of bovengemiddelde kriticiteit zijn alleen mogelijk indien de authenticiteit van een gebruiker is vastgesteld door middel van een elektronisch certificaat dat is afgegeven en wordt beheerd door een door het ESCB geaccepteerde certificeringsautoriteit conform het ESCB-kader voor de acceptatie van certificaten, met inbegrip van de ESCB-PKI-certificeringsautoriteit, of door certificeringsautoriteiten die door het ESCB voor TARGET2 en TARGET2-Securities zijn geaccepteerd voor die twee toepassingen.

2.   De ESCB-PKI-certificeringsautoriteit geeft elektronische certificaten af en verleent overige elektronische certificeringsdiensten voor intekenaars op certificaten van de centrale banken van het ESCB en van derden die met hen werken om hen in staat te stellen veilig toegang te verkrijgen tot en gebruik te maken van elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem.

3.   De ESCB-PKI verleent de volgende certificeringsdiensten:

a)	afgifte, vernieuwing en intrekking van certificaten, en bevestiging van de geldigheid van een certificaat voor verschillende typen certificaten;

b)	afgifte van certificaten voor authenticatie, elektronische handtekeningen en versleuteling met betrekking tot gebruikers van binnen en buiten het ESCB, en technische certificaten;

c)	het achterhalen van privésleutels om m.b.v. asymmetrische cryptografie versleutelde informatie te achterhalen bij verlies van een certificaat;

d)	levering en beheer van cryptografische tokens aan intekenaars op certificaten, indien nodig;

e)	het verstrekken van informatie betreffende beheerprocedures van ESCB-PKI-certificaten, en technische ondersteuning aan ESCB-projectmanagers om hen te helpen ESCB-PKI-certificaten in hun toepassingen te integreren.

Andere diensten kunnen in de toekomst worden toegevoegd al naargelang vereist door elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem.

Artikel 4

ESCB-PKI-kader

1.   Met inachtneming van dit besluit worden de verantwoordelijkheden en functies van de verstrekkende centrale bank en van de overige centrale banken van het Eurosysteem met betrekking tot ESCB-PKI-implementatie, -exploitatie en -gebruik uiteengezet in een niveau 2 – niveau 3-overeenkomst en verder omschreven in het ESCB-PKI-certificaatbeleid en de ESCB-PKI-certificatiepraktijkverklaring.

2.   De niveau 2 – niveau 3-overeenkomst, die de dienstenniveauovereenkomst omvat, bevat de na onderhandeling tussen de verstrekkende centrale bank en de centrale banken van het Eurosysteem gesloten overeenkomst betreffende de verantwoordelijkheden en functies van de verstrekkende centrale bank en de centrale banken van het Eurosysteem. De overeenkomst wordt ter goedkeuring voorgelegd aan de Raad van bestuur en vervolgens ondertekend door de verstrekkende centrale bank en de centrale banken van het Eurosysteem.

3.   De dienstenniveauovereenkomst is zowel een overeenkomst die het niveau vastlegt van door de verstrekkende centrale bank aan het Eurosysteem te verlenen diensten, als een overeenkomst die het niveau vastlegt van door het Eurosysteem aan de niet tot het eurogebied behorende NCB's en aan derden te verlenen diensten in verband met de ESCB-PKI.

4.   De ESCB-PKI-certificatiepraktijkverklaring is een stel regels die de levenscyclus van elektronische certificaten regelt, vanaf het eerste verzoek tot intekening en/of intrekking, alsook de relaties tussen de aanvrager van of intekenaar op het certificaat, de ESCB-PKI-certificeringsautoriteit en de vertrouwende partijen. De verklaring bestrijkt elektronische certificaten die binnen het toepassingsgebied van Richtlijn 1999/93/EG vallen, en elektronische certificaten die buiten het toepassingsgebied ervan vallen. De verklaring zet ook de rollen en verantwoordelijkheden van alle partijen uiteen en stelt de procedures vast betreffende de afgifte en het beheer van certificaten. De verklaring wordt als bijlage bij de niveau 2 – niveau 3-overeenkomst gevoegd.

5.   Een ESCB-PKI-certificaatbeleid is een stel regels dat van toepassing is op elk type uitgegeven certificaat. Elk stel regels geeft nadere informatie betreffende de implementatie verbandhoudend met de ESCB-PKI-certificatiepraktijkverklaring voor elk type uitgegeven certificaat. Het ESCB-PKI-certificaatbeleid wordt als bijlage bij de niveau 2 – niveau 3-overeenkomst gevoegd.

6.   Het ESCB-PKI-certificaatbeleid en de ESCB-PKI-certificatiepraktijkverklaring worden gepubliceerd op de ESCB-PKI-website (5).

7.   Informatie betreffende de ESCB-PKI-certificeringsautoriteit, met inbegrip van de identiteit ervan, en de technische onderdelen ervan wordt uiteengezet in de bijlage bij dit besluit.

Artikel 5

Verantwoordelijkheden en rollen van de verstrekkende centrale bank

1.   De verstrekkende centrale bank is verantwoordelijk voor de exploitatie en het onderhoud van de ESCB-PKI ten behoeve van de centrale banken van het Eurosysteem, met inbegrip van hosting, exploitatie en management uitgevoerd conform de niveau 2 – niveau 3-overeenkomst. Met name levert zij certificaten en ESCB-PKI-diensten conform zakelijke vereisten en technische specificaties, zoals het ESCB-kader voor de acceptatie van certificaten en de vereisten en specificaties uiteengezet in de niveau 2 – niveau 3-overeenkomst.

2.   De verstrekkende centrale bank zet de noodzakelijke organisatorische infrastructuur op voor het maken, afgeven en beheren van certificaten en zorgt voor het onderhoud van de infrastructuur. Voor dat doel kan de verstrekkende centrale bank, in overleg met het ITC, regels vaststellen betreffende haar interne organisatie en administratie.

3.   De verstrekkende centrale bank treedt op als de ESCB-PKI-certificeringsautoriteit en de ESCB-PKI-valideringsinstantie.

4.   De niveau 2 – niveau 3-overeenkomst legt het aansprakelijkheidsregime vast dat op de verstrekkende centrale bank van toepassing is.

Artikel 6

Verantwoordelijkheden en rollen van de centrale banken van het Eurosysteem

1.   Elke centrale bank van het Eurosysteem is verantwoordelijk voor de identificatie van haar intekenaars op certificaten. Om deze taak te vervullen stelt ze de functie van registratiefunctionaris in die de bevoegdheid heeft om derde gebruikers te registreren.

2.   Elke centrale bank van het Eurosysteem treedt op als een vertrouwende partij met betrekking tot certificaten voor versleuteling en elektronische handtekeningen afgegeven door de ESCB-PKI voor andere centrale banken van het Eurosysteem of intekenaars op certificaten van derde gebruikers.

3.   Elke centrale bank van het Eurosysteem die gebruikmaakt van ESCB-PKI-diensten, treedt op als registratieautoriteit voor haar aanvragers van certificaten en zorgt ervoor dat haar aanvragers van certificaten de in het aanvraagformulier van de ESCB-PKI-certificeringsautoriteit voor haar diensten uiteengezette gebruikersvoorwaarden aanvaarden en toepassen.

Artikel 7

Relaties tussen de centrale banken van het Eurosysteem, derden en intekenaars op certificaten

Elke centrale bank van het Eurosysteem treft regelingen betreffende veilige toegang en veilig gebruik door derden van de elektronische toepassingen, systemen, platforms en diensten van het ESCB en het Eurosysteem via het gebruik van ESCB-PKI-certificaten. De relatie tussen de desbetreffende centrale bank van het Eurosysteem en de derden die ESCB-PKI-certificaten gebruiken, is exclusief onderworpen aan deze regelingen. Alle derden houden zich aan het ESCB-PKI-certificaatbeleid, de ESCB-PKI-certificatiepraktijkverklaring en de in het aanvraagformulier van de ESCB-PKI-certificeringsautoriteit voor haar diensten uiteengezette gebruikersvoorwaarden.

Artikel 8

Relaties met vertrouwende partijen

Een in het kader van dit besluit afgegeven certificaat kan worden vertrouwd mits een vertrouwende partij:

a)	de geldigheid, opschorting of intrekking van het certificaat verifieert met behulp van actuele informatie over de intrekkingsstatus;

b)	rekening houdt met eventuele in het certificaat aangegeven gebruiksbeperkingen, en

c)	de ESCB-PKI-certificatiepraktijkverklaring en het van toepassing zijnde ESCB-PKI-certificaatbeleid aanvaardt.

Artikel 9

Rechten op de ESCB-PKI

1.   De ESCB-PKI is volledig eigendom van de centrale banken van het Eurosysteem.

2.   Met het oog hierop verleent de verstrekkende centrale bank de centrale banken van het Eurosysteem, voor zover haalbaar onder van toepassing zijnde wetgeving, alle licenties betreffende de intellectuele-eigendomsrechten die nodig zijn om de centrale banken van het Eurosysteem in staat te stellen gebruik te maken van de ESCB-PKI en de componenten daarvan en van het volledige scala aan ESCB-PKI-diensten en ook ESCB-PKI-diensten te verlenen aan derden onder de ESCB-PKI-certificatiepraktijkverklaring en het ESCB-PKI-certificaatbeleid. De verstrekkende centrale bank vrijwaart de centrale banken van het Eurosysteem tegen eventuele door derden ingestelde inbreukvorderingen in verband met dergelijke intellectuele-eigendomsrechten.

3.   De bijzonderheden betreffende de rechten van de centrale banken van het Eurosysteem op de ESCB-PKI worden tussen niveau 2 en niveau 3 overeengekomen in de niveau 2 – niveau 3-overeenkomst.

Artikel 10

Aansprakelijkheid van centrale banken van het Eurosysteem jegens gebruikers

1.   Tenzij zij bewijzen niet nalatig te hebben gehandeld, zijn de centrale banken van het Eurosysteem aansprakelijk ingevolge hun functies en verantwoordelijkheden in de ESCB-PKI voor elke schade veroorzaakt aan een gebruiker die in redelijkheid op een gekwalificeerd certificaat heeft vertrouwd zoals gedefinieerd in Richtlijn 1999/93/EG, wat betreft:

a)	de juistheid, op het tijdstip van uitgifte, van alle gegevens in een gekwalificeerd certificaat en de opneming in het certificaat van alle gegevens voorgeschreven voor een gekwalificeerd certificaat, zoals gedefinieerd in Richtlijn 1999/93/EG;

b)

een garantie dat op het tijdstip van uitgifte van een gekwalificeerd certificaat de daarin geïdentificeerde intekenaar op het certificaat houder was van de gegevens voor het aanmaken van de handtekening, die met de in het certificaat gegeven of geïdentificeerde gegevens voor het verifiëren van een handtekening overeenstemmen;

c)	een garantie dat het middel voor het aanmaken van de handtekening en het middel voor het verifiëren van de handtekening samen complementair functioneren, in gevallen waarin zij beide door de ESCB-PKI worden gegenereerd;

d)	het niet registreren van de intrekking van een gekwalificeerd certificaat.

2.   De centrale banken van het Eurosysteem gaan geen verplichtingen aan, geven geen garanties en aanvaarden geen aansprakelijkheid jegens gebruikers tenzij uitdrukkelijk gesteld in dit besluit en in de ESCB-PKI-certificatiepraktijkverklaring.

Artikel 11

Deelname van niet tot het eurogebied behorende NCB's in de ESCB-PKI

1.   Een niet tot het eurogebied behorende NCB kan optreden als registratieautoriteit voor haar interne gebruikers, alsook voor derde gebruikers, en kan de functie van registratiefunctionaris instellen om deze taak te vervullen.

2.   Afhankelijk van de goedkeuring van de Raad van bestuur, kan een niet tot het eurogebied behorende NCB ook besluiten gebruik te maken van ESCB-PKI-diensten onder dezelfde voorwaarden als gelden voor centrale banken van het Eurosysteem. Hiertoe legt de niet tot het eurogebied behorende NCB een verklaring over aan de Raad van bestuur waarin zij bevestigt te zullen voldoen aan de in dit besluit en in de niveau 2 – niveau 3-overeenkomst neergelegde verplichtingen. Een niet tot het eurogebied behorende NCB wordt geen mede-eigenaar van de ESCB-PKI en is niet verplicht bij te dragen aan de financiële enveloppe van de ESCB-PKI.

Artikel 12

Gegevensbescherming

Centrale banken van het Eurosysteem voldoen aan wetgeving inzake gegevensbescherming die van toepassing is op het door hen verwerken van persoonsgegevens bij het vervullen van hun functies in verband met de ESCB-PKI.

Artikel 13

Audit

Audits van de ESCB-PKI worden uitgevoerd overeenkomstig de in het auditbeleid uiteengezette beginselen en regelingen. Zij laten de interne controles en auditregels die van toepassing zijn of door de centrale banken van het Eurosysteem worden vastgesteld, onverlet.

Artikel 14

Financiële regelingen

De centrale banken van het Eurosysteem dragen de kosten van de ontwikkeling en exploitatie van de ESCB-PKI zoals nader gespecificeerd in de financiële enveloppe van de ESCB-PKI.

Artikel 15

Rol van de directie

1.   Overeenkomstig artikel 17.3 van Besluit ECB/2004/2 van 19 februari 2004 houdende goedkeuring van het reglement van orde van de Europese Centrale Bank (6), draagt de Raad van bestuur aan de directie zijn normatieve bevoegdheden over om alle maatregelen te nemen ter implementatie van dit besluit die noodzakelijk zijn voor de efficiëntie en veiligheid van de ESCB-PKI, en om wijzigingen vast te stellen betreffende de technische aspecten van de ESCB-PKI en ESCB-PKI-diensten voorzien in de bijlagen bij de niveau 2 – niveau 3-overeenkomst na het advies van het ITC en, indien van toepassing, van het IT-stuurcomité van het Eurosysteem in aanmerking te hebben genomen.

2.   De directie stelt de Raad van bestuur onverwijld in kennis van elke maatregel die op grond van lid 1 wordt genomen, en houdt zich aan elk besluit van de Raad van bestuur in dit verband.

---

(1)  PB L 13 van 19.1.2000, blz. 12.

(2)  PB L 281 van 23.11.1995, blz. 31.

(3)  PB L 8 van 12.1.2001, blz. 1.

(4)  www.ecb.europa.eu

(5)  http://pki.escb.eu

(6)  PB L 80 van 18.3.2004, blz. 33.

---

---