Kommissionens genomförandeförordning (EU) 2024/2980 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller anmälningar till kommissionen avseende ekosystemet för EU:s digitala identitetsplånböcker

Europeiska unionens
officiella tidning

L-serien

2024/2980

4.12.2024

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2024/2980

av den 28 november 2024

om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller anmälningar till kommissionen avseende ekosystemet för EU:s digitala identitetsplånböcker

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 5a.23, och

av följande skäl:

(1)

Det europeiska ramverket för digital identitet, som inrättades genom förordning (EU) nr 910/2014, är en avgörande komponent i inrättandet av ett säkert och interoperabelt ekosystem för digital identitet i hela unionen. EU:s digitala identitetsplånböcker (plånböckerna) utgör hörnstenen i ramverket som syftar till att underlätta tillgången till tjänster i medlemsstaterna, samtidigt som skyddet av personuppgifter och integritet säkerställs.

(2)	Europaparlamentets och rådets förordning (EU) 2016/679 (2) eller Europaparlamentets och rådets förordning (EU) 2018/1725 (3) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (4) är tillämpliga på all behandling av personuppgifter i enlighet med denna förordning.

(3)

Enligt artikel 5a.23 i förordning (EU) nr 910/2014 ska kommissionen vid behov fastställa relevanta specifikationer och förfaranden. Detta uppnås genom fyra genomförandeförordningar, som behandlar protokoll och gränssnitt: kommissionens genomförandeförordning (EU) 2024/2982 (5), integritet och centrala funktioner: kommissionens genomförandeförordning (EU) 2024/2979 (6), personidentifieringsuppgifter och elektroniska attributsintyg: kommissionens genomförandeförordning (EU) 2024/2977 (7), samt anmälningar till kommissionen: kommissionens genomförandeförordning (EU) 2024/2980 (8). I denna förordning fastställs de relevanta kraven på medlemsstaternas anmälningar av betrodda enheter som fastställer tillförlitligheten för det europeiska ramverket för digital identitet.

(4)

Kommissionen utvärderar regelbundet ny teknik, nya metoder, standarder eller tekniska specifikationer. För att säkerställa största möjliga harmonisering bland medlemsstaterna för utveckling och certifiering av plånböcker bygger de tekniska specifikationerna i denna förordning på det arbete som utförts på grundval av kommissionens rekommendation (EU) 2021/946 av den 3 juni 2021 om en unionsgemensam verktygslåda för en samordnad strategi för en europeisk ram för digital identitet (9), särskilt arkitekturen och referensramen. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 (10) bör kommissionen vid behov se över och uppdatera denna genomförandeförordning för att hålla den i linje med den globala utvecklingen, arkitekturen och referensramen och för att följa praxis på den inre marknaden.

(5)

För att uppnå målet att inrätta en transparent och tillförlitlig informationskälla för autentisering av enheter i ekosystemet för EU:s digitala identitetsplånböcker, såsom plånbokstillhandahållare, tillhandahållare av personidentifieringsuppgifter och förlitande parter, bör medlemsstaterna anmäla den information som krävs till det elektroniska system som tillhandahålls av kommissionen. I linje med det förhållningssätt som tillämpas i kommissionens genomförandebeslut (EU) 2015/1984 (11) om förutsättningar, format och förfaranden för anmälan av system för elektronisk identifiering som gäller för medel för elektronisk identifiering bör medlemsstaterna lämna information till kommissionen på engelska. På så sätt finns beskrivningar av system för elektronisk identifiering tillgängliga på engelska för alla sådana system, oavsett om de avser medel för elektronisk identifiering eller plånböcker.

(6)

För att uppnå samma mål att inrätta informationskällor som möjliggör autentisering av enheter i ekosystemet för EU:s digitala identitetsplånböcker bör kommissionen skapa en infrastruktur för att göra informationen tillgänglig för allmänheten på ett säkert, människoläsbart, tydligt och lättillgängligt sätt, samt i elektroniskt undertecknad eller stämplad form som lämpar sig för automatiserad behandling, bland annat genom att erbjuda ett gränssnitt för tillämpningsprogram.

(7)	Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 30 september 2024.

(8)	De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som avses i artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Innehåll och tillämpningsområde

I denna förordning fastställs skyldigheter i samband med anmälningar som möjliggör validering av

de elektroniska register som en medlemsstat använder för att offentliggöra information om de förlitande parter som är registrerade i den medlemsstaten i enlighet med artikel 5b.5 i förordning (EU) nr 910/2014 (register över förlitande parter), var registren över förlitande parter finns och vilka som är registerförvaltare för dessa register,

2.	de registrerade förlitande parternas identitet,

3.	plånboksenheternas äkthet och giltighet,

4.	identifieringen av plånbokstillhandahållarna,

5.	personidentifieringsuppgifternas äkthet,

6.	identifieringen av tillhandahållarna av personidentifieringsuppgifter, som ska uppdateras regelbundet för att hållas i linje med utvecklingen av teknik och standarder och med det arbete som utförs på grundval av rekommendation (EU) 2021/946, särskilt arkitekturen och referensramen.

Artikel 2

Definitioner

I denna förordning gäller följande definitioner:

1.	plånbokstillhandahållare: en fysisk eller juridisk person som tillhandahåller plånbokslösningar.

2.	tillhandahållare av personidentifieringsuppgifter: en fysisk eller juridisk person som ansvarar för att utfärda och återkalla personidentifieringsuppgifter och säkerställa att en användares personidentifieringsuppgifter är kryptografiskt bundna till en plånboksenhet.

3.	förlitande part: en förlitande part som avser att förlita sig på plånboksenheter för att genom digital interaktion tillhandahålla offentliga eller privata tjänster.

4.	register över förlitande parter: ett elektroniskt register som en medlemsstat använder för att göra information om förlitande parter som är registrerade i den medlemsstaten allmänt tillgänglig i enlighet med artikel 5b.5 i förordning (EU) nr 910/2014.

5.	registerförvaltare: det organ som ansvarar för att upprätta och underhålla förteckningen över registrerade förlitande parter som är etablerade på deras territorium och som har utsetts av en medlemsstat.

6.	plånboksenhet: en unik konfiguration av en plånbokslösning som omfattar plånboksinstanser, krypteringsapplikationer och krypteringshårdvara som en plånbokstillhandahållare tillhandahåller en enskild plånboksanvändare.

7.	plånbokslösning: en kombination av programvara, hårdvara, tjänster, inställningar och konfigureringar, inklusive plånboksinstanser, en eller flera krypteringsapplikationer och en eller flera krypteringshårdvaror.

8.	plånboksinstans: den applikation som är installerad och konfigurerad på en plånboksanvändares hårdvara eller i en plånboksanvändares milj, som ingår i en plånboksenhet och som plånboksanvändaren använder för att interagera med plånboksenheten.

9.	krypteringsapplikation: en applikation som hanterar kritiska tillgångar genom att vara kopplad till och använda de kryptografiska och icke-kryptografiska funktioner som tillhandahålls av krypteringshårdvaran.

10.	krypteringshårdvara: manipuleringssäker hårdvara som tillhandahåller en miljö som är kopplad till och används av krypteringsapplikationen för att skydda kritiska tillgångar och tillhandahålla kryptografiska funktioner för att säkert kunna utföra kritiska operationer.

11.

kritiska tillgångar: tillgångar inom eller i samband med en plånboksenhet som är av sådan extraordinär betydelse att det, om deras konfidentialitet, integritet och tillgänglighet äventyrades, skulle få en mycket allvarlig, funktionsnedsättande inverkan på förmågan att förlita sig på plånboksenheten.

12.	plånboksanvändare: en användare som kontrollerar plånboksenheten.

13.	tillhandahållare av förlitandepartcertifikat: en fysisk eller juridisk person som bemyndigats av en medlemsstat att utfärda förlitandepartcertifikat till förlitande parter som är registrerade i den medlemsstaten.

14.	förlitandepartcertifikat: ett certifikat för elektroniska stämplar eller underskrifter som autentiserar och validerar den förlitande parten och som utfärdats av en tillhandahållare av förlitandepartcertifikat.

Artikel 3

Anmälningssystem

1. Kommissionen ska senast tolv månader efter offentliggörandet av denna förordning i Europeiska unionens officiella tidning tillhandahålla medlemsstaterna ett säkert elektroniskt anmälningssystem som gör det möjligt för medlemsstaterna att lämna information om de organ och mekanismer som avses i artikel 5a.18 i förordning (EU) nr 910/2014.

2. Det säkra elektroniska anmälningssystemet ska uppfylla de tekniska kraven i bilaga I.

Artikel 4

Medlemsstaternas anmälningar

1. Medlemsstaterna ska via det säkra elektroniska anmälningssystem som avses i artikel 3.1 lämna åtminstone den information som anges i bilaga II.

2. Medlemsstaterna ska åtminstone göra anmälningarna på engelska. Medlemsstaterna ska inte vara skyldiga att översätta handlingar som styrker anmälningarna om detta skulle medföra en orimlig administrativ eller ekonomisk börda.

3. Kommissionen får begära ytterligare information eller förtydliganden från medlemsstaterna för att kontrollera att den anmälda informationen är fullständig och konsekvent.

Artikel 5

Kommissionens offentliggöranden

1. Kommissionen ska upprätta, underhålla och offentliggöra en förteckning över den information som medlemsstaterna har anmält om registerförvaltare och register över förlitande parter enligt avsnitt 1 i bilaga II.

2. Kommissionen ska upprätta, underhålla och offentliggöra en förteckning över den information som medlemsstaterna har anmält om plånbokstillhandahållare, tillhandahållare av personidentifieringsuppgifter och tillhandahållare av förlitandepartcertifikat, i enlighet med avsnitten 2, 3 och 4 i bilaga II.

3. Kommissionen ska säkerställa att tillgång ges till de förteckningar som avses i punkterna 1 och 2 i denna artikel

a)	både i elektroniskt undertecknad eller stämplad form som lämpar sig för automatiserad behandling och via en människoläsbar webbplats på åtminstone engelska,

b)	utan att behöva registrera sig eller autentiseras för att ta del av eller läsa förteckningarna,

c)	på ett säkert sätt genom att använda den senaste transportskiktkrypteringen.

4. Utöver offentliggörandet av de förteckningar som avses i punkterna 1 och 2 ska kommissionen offentliggöra

a)	de tekniska specifikationer som kommissionen använder för förteckningarnas struktur,

b)	den webbadress där förteckningarna offentliggörs,

c)	de certifikat som ska användas för att kontrollera underskriften eller stämpeln i förteckningarna,

d)	uppgifter om de mekanismer som används för att validera ändringar av den plats som avses i led (b) eller av de certifikat som avses i led (c).

Artikel 6

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 28 november 2024.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5) Kommissionens genomförandeförordning (EU) 2024/2982 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller protokoll och gränssnitt som ska stödjas av det europeiska ramverket för digital identitet (EUT L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).

(6) Kommissionens genomförandeförordning (EU) 2024/2979 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller integritet och centrala funktioner hos EU:s digitala identitetsplånböcker (EUT L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).

(7) Kommissionens genomförandeförordning (EU) 2024/2977 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller personidentifieringsuppgifter och elektroniska attributsintyg som utfärdats för EU:s digitala identitetsplånböcker (EUT L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).

(8) Kommissionens genomförandeförordning (EU) 2024/2980 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller anmälningar till kommissionen avseende ekosystemet för EU:s digitala identitetsplånböcker (EUT L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).

(9) EUT L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.

(10) Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(11) Kommissionens genomförandebeslut (EU) 2015/1984 av den 3 november 2015 om förutsättningar, format och förfaranden för anmälan enligt artikel 9.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (EUT L 289, 5.11.2015, s. 18, ELI: http://data.europa.eu/eli/dec_impl/2015/1984/oj).

BILAGA I

KRAV PÅ KOMMISSIONENS ANMÄLNINGSSYSTEM

Gränssnittet för det säkra elektroniska anmälningssystemet ska åtminstone vara på engelska.

Det säkra elektroniska anmälningssystem som kommissionen tillhandahåller ska vara utformat för att

a)	ge medlemsstaterna möjlighet att bara lämna samma information en gång, genom att vid behov återanvända tidigare lämnad information,

b)	göra det möjligt att lämna information både via gränssnitt som kan behandlas av maskiner och via gränssnitt som kan användas av människor,

c)	stödja lämpliga åtkomstkontroller och lämplig åtkomstkontrollhantering genom att till medlemsstaterna delegera befogenheten att bevilja behöriga företrädare åtkomst när det gäller anmälningarna,

d)	stödja anmälningar av den information som anges i bilaga II,

e)	ge medlemsstaterna möjlighet att ta del av anmälda uppgifter,

f)	bekräfta mottagandet av anmälningar av information med elektroniska medel,

g)	föra, och ge medlemsstaterna möjlighet att ta del av, ett register över tidigare ändringar i den anmälda informationen.

BILAGA II

KRAV PÅ MEDLEMSSTATERNAS ANMÄLNINGAR

1. Anmälningar av information om registerförvaltare och register

Medlemsstaterna ska till kommissionen lämna följande information om sina registerförvaltare och register:

a)	Registrets namn.

b)	Minst en webbadress som ger åtkomst till registret och som ska använda den senaste transportskiktkrypteringen.

c)	Namnet på den registerförvaltare som ansvarar för det registret.

d)	I tillämpliga fall registerförvaltarens registreringsnummer.

e)	Den medlemsstat där registerförvaltaren är etablerad.

f)	E-postadress och telefonnummer på vilka registerförvaltaren kan kontaktas i frågor om registret.

g)	I tillämpliga fall webbadressen till en webbsida som innehåller ytterligare information om registerförvaltaren och registret.

h)	Webbadressen till den webbsida där den registreringspolicy som gäller för registret och tillhörande information finns.

Ett eller flera intyg som uppfyller kraven i IETF RFC 3647 och som kan användas för att kontrollera registerförvaltarens underskrift eller stämpel på registeruppgifterna och för vilka de certifierade identitetsuppgifterna innehåller registerförvaltarens namn och, i tillämpliga fall, registerförvaltarens registreringsnummer, i enlighet med led c respektive d.

2)	Den information som avses i led 1 ska tillhandahållas per register och registerförvaltare.

2. Anmälningar av information om plånbokstillhandahållare och om mekanismer för att validera plånboksenheternas äkthet och giltighet

Medlemsstaterna ska till kommissionen lämna följande information om plånbokstillhandahållarna:

a)	Plånbokstillhandahållarens namn.

b)	I tillämpliga fall plånbokstillhandahållarens registreringsnummer.

c)	I tillämpliga fall namnet på det organ som ansvarar för tillhandahållandet av plånbokslösningen.

d)	Den medlemsstat där plånbokstillhandahållaren är etablerad.

e)	E-postadress och telefonnummer på vilka plånbokstillhandahållaren kan kontaktas i frågor om de plånbokslösningar som den tillhandahåller.

f)	I tillämpliga fall webbadressen till en webbsida som innehåller ytterligare information om plånbokstillhandahållaren och plånbokslösningen.

g)	Webbadressen till webbsidan med plånbokstillhandahållarens policyer, villkor och bestämmelser som gäller för tillhandahållandet och användningen av den plånbokslösning som tillhandahållaren tillhandahåller.

Ett eller flera intyg som uppfyller kraven i IETF RFC 3647 och som kan användas för att autentisera och validera komponenterna i den plånboksenhet som plånboken tillhandahåller och för vilka de certifierade identitetsuppgifterna innehåller plånbokstillhandahållarens namn och, i tillämpliga fall, registreringsnummer, enligt vad som anges i led a respektive b.

För varje plånbokslösning som plånbokstillhandahållaren tillhandahåller, namn på och referensnummer för den plånbokslösning som den tillhandahåller, eftersom kommissionen ska offentliggöra denna information i Europeiska unionens officiella tidning i enlighet med artikel 5d i förordning (EU) nr 910/2014.

2)	Den information som avses i punkt 1 ska tillhandahållas per tillhandahållare.

3. Anmälningar av information om tillhandahållare av personidentifieringsuppgifter och om de mekanismer som möjliggör autentisering och validering av personidentifieringsuppgifter

Medlemsstaterna ska till kommissionen lämna följande information om tillhandahållare av personidentifieringsuppgifter:

a)	Namn på tillhandahållaren av personidentifieringsuppgifter.

b)	I tillämpliga fall ett registreringsnummer för tillhandahållaren av personidentifieringsuppgifter.

c)	I tillämpliga fall namnet på det organ som ansvarar för att säkerställa att personidentifieringsuppgifterna är kopplade till plånboksenheten.

d)	Den medlemsstat där tillhandahållaren av personidentifieringsuppgifter är etablerad.

e)	E-postadress och telefonnummer på vilka tillhandahållaren av personidentifieringsuppgifter kan kontaktas i frågor om de personidentifieringsuppgifter som den tillhandahåller.

f)	I tillämpliga fall webbadressen till en webbsida som innehåller ytterligare information om tillhandahållaren av personidentifieringsuppgifter.

g)	Webbadressen till webbsidan med de policyer, villkor och bestämmelser som tillhandahållaren av personidentifieringsuppgifter tillämpar och som gäller för tillhandahållandet och användningen av de personidentifieringsuppgifter som den tillhandahåller.

Ett eller flera intyg som uppfyller kraven i IETF RFC 3647 och som kan användas för att kontrollera den underskrift eller stämpel som tillhandahållaren av personidentifieringsuppgifter skapat på de personidentifieringsuppgifter som den tillhandahåller och för vilka de certifierade identitetsuppgifterna innehåller namn på och, i tillämpliga fall, registreringsnummer för tillhandahållaren av personidentifieringsuppgifter, enligt vad som anges i led a respektive b.

2)	Den information som avses i punkt 1 ska tillhandahållas per tillhandahållare.

4. Anmälningar av information om tillhandahållare av förlitandepartcertifikat

Medlemsstaterna ska till kommissionen lämna följande information om tillhandahållare av förlitandepartcertifikat:

a)	Namnet på tillhandahållaren av förlitandepartcertifikat.

b)	I tillämpliga fall ett registreringsnummer för tillhandahållaren av förlitandepartcertifikat.

c)	Den medlemsstat där tillhandahållaren av förlitandepartcertifikat är etablerad.

d)	E-postadress och telefonnummer på vilka tillhandahållaren av förlitandepartcertifikat kan kontaktas i frågor om de förlitandepartcertifikat som den tillhandahåller förlitande parter.

e)	I tillämpliga fall webbadressen till en webbsida för tillhandahållaren av förlitandepartcertifikat som innehåller ytterligare information om tillhandahållaren och de förlitandepartcertifikat som den tillhandahåller förlitande parter.

f)	Webbadressen till webbsidan med de policyer, villkor och bestämmelser som gäller för tillhandahållandet och användningen av de förlitandepartcertifikat som tillhandahållaren tillhandahåller förlitande parter.

Ett eller flera certifikat som uppfyller kraven i IETF RFC 3647 och som kan användas för att kontrollera den underskrift eller stämpel som tillhandahållaren av förlitandepartcertifikat skapat på det förlitandepartcertifikat som den tillhandahåller förlitande parter, och som i tillämpliga fall innehåller den information som krävs för att särskilja förlitandepartcertifikat från andra certifikat.

2)	Den information som avses i led 1 ska tillhandahållas per tillhandahållare av förlitandepartcertifikat.

ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj

ISSN 1977-0820 (electronic edition)