Kommissionens genomförandeförordning (EU) 2024/2982 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller protokoll och gränssnitt som ska stödjas av det europeiska ramverket för digital identitet

Europeiska unionens
officiella tidning

L-serien

2024/2982

4.12.2024

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2024/2982

av den 28 november 2024

om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller protokoll och gränssnitt som ska stödjas av det europeiska ramverket för digital identitet

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 5a.23, och

av följande skäl:

(1)

Det europeiska ramverket för digital identitet, som inrättades genom förordning (EU) nr 910/2014, är en avgörande komponent i inrättandet av ett säkert och interoperabelt ekosystem för digital identitet i hela unionen. EU:s digitala identitetsplånböcker (plånböckerna) utgör hörnstenen i ramverket som syftar till att underlätta för fysiska och juridiska personer att få tillgång till tjänster i medlemsstaterna, samtidigt som skyddet av personuppgifter och integritet säkerställs.

(2)	Europaparlamentets och rådets förordning (EU) 2016/679 (2) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (3) är tillämpliga på all behandling av personuppgifter i enlighet med denna förordning.

(3)

Enligt artikel 5a.23 i förordning (EU) nr 910/2014 ska kommissionen vid behov fastställa relevanta specifikationer och förfaranden. Detta uppnås genom fyra genomförandeförordningar, som behandlar protokoll och gränssnitt: kommissionens genomförandeförordning (EU) 2024/2982 (4), integritet och centrala funktioner: kommissionens genomförandeförordning (EU) 2024/2979 (5), personidentifieringsuppgifter och elektroniska attributsintyg: kommissionens genomförandeförordning (EU) 2024/2977 (6), samt anmälningar till kommissionen: kommissionens genomförandeförordning (EU) 2024/2980 (7). I denna förordning fastställs relevanta krav för protokoll och gränssnitt.

(4)

Kommissionen utvärderar regelbundet ny teknik, nya metoder, standarder eller tekniska specifikationer. För att säkerställa största möjliga harmonisering bland medlemsstaterna för utveckling och certifiering av plånböcker bygger de tekniska specifikationerna i denna förordning på det arbete som utförts på grundval av kommissionens rekommendation (EU) 2021/946 av den 3 juni 2021 om en unionsgemensam verktygslåda för en samordnad strategi för en europeisk ram för digital identitet (8), särskilt arkitekturen och referensramen. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 (9) bör kommissionen vid behov se över och uppdatera denna genomförandeförordning för att hålla den i linje med den globala utvecklingen, arkitekturen och referensramen och för att följa praxis på den inre marknaden.

(5)

För att säkerställa förlitande parters transparens och tillförlitlighet gentemot plånboksanvändare bör de protokoll och gränssnitt som plånbokslösningarna använder ge plånboksanvändarna en tillförlitlig mekanism för autentisering av förlitande parter och andra plånboksenheter. Omvänt bör plånbokstillhandahållare tillhandahålla en mekanism för autentisering och validering av plånboksenheter så att förlitande parter kan få garantier om plånboksenheternas tillförlitlighet och äkthet. Dessutom bör plånböckernas tekniska infrastruktur också utformas så att endast minsta nödvändiga mängd data överförs och endast till behöriga förlitande parter, samtidigt som olänkbarheten upprätthålls mellan de olika transaktionerna. För att göra det möjligt att utfärda personidentifieringsuppgifter och elektroniska attributsintyg bör alla plånbokslösningar stödja en minimiuppsättning protokoll och gränssnitt.

(6)

För att säkerställa plånbokslösningarnas användbarhet i alla medlemsstater bör alla plånbokslösningar stödja gemensamma tekniska specifikationer när personidentifieringsuppgifter och elektroniska attributsintyg via plånböckerna presenteras för förlitande parter, både i distansscenarier och närhetsscenarier. Dessutom kan plånboksenheter stödja andra protokoll och gränssnitt för särskilda användningsfall.

(7)

För att säkerställa ett inbyggt dataskydd och dataskydd som standard bör plånböckerna förses med flera integritetsfrämjande funktioner för att förhindra att tillhandahållare av medel för elektronisk identifiering och elektroniska attributsintyg kombinerar personuppgifter som erhållits när de tillhandahåller andra tjänster med de personuppgifter som behandlas för att tillhandahålla de tjänster som omfattas av förordning (EU) nr 910/2014. I enlighet med förordning (EU) nr 910/2014 får förlitande parter inte begära att användarna tillhandahåller några andra uppgifter än de som anges för plånböckernas avsedda användning under registreringsprocessen. Plånboksanvändare bör ha möjlighet att när som helst kontrollera förlitande parters registreringsuppgifter. Dessutom bör plånboksenheter kunna visa förlitandepartregistreringscertifikat för användarna, när sådana finns tillgängliga, som en del av en begäran om attribut. Detta bör göra det möjligt för plånboksanvändare att kontrollera att de attribut som begärs av den förlitande parten omfattas av deras registrerade attribut, vilket garanterar att begäran är legitim och tillförlitlig.

(8)

För att skydda plånboksanvändarnas uppgifter bör plånbokstillhandahållare säkerställa att plånboksenheterna validerar begäranden från förlitande parter eller andra plånboksenheter innan de gör några uppgifter tillgängliga. Av samma skäl och i enlighet med artikel 5a.4 d ii i förordning (EU) nr 910/2014 bör plånbokstillhandahållare säkerställa att plånboksenheter gör det möjligt för plånboksanvändare att begära ett en förlitande part raderar uppgifter.

(9)

För att möjliggöra snabba reaktioner i händelse av farhågor avseende dataskydd i samband med artikel 5a.4 d iii i förordning (EU) nr 910/2014 bör plånbokstillhandahållare säkerställa att plånbokslösningar tillhandahåller mekanismer för rapportering av en förlitande part till den behöriga nationella dataskyddsmyndigheten. Plånbokstillhandahållare och dataskyddsmyndigheter bör ges lämplig flexibilitet när det gäller att inrätta lämpliga mekanismer för samverkan med medlemsstaternas dataskyddsmyndigheter.

(10)	Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (10) och avgav ett yttrande den 30 september 2024.

(11)	De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som avses i artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Innehåll och tillämpningsområde

I denna förordning fastställs bestämmelser om protokoll och gränssnitt för plånbokslösningar för

(1)	utfärdande av personidentifieringsuppgifter och elektroniska attributsintyg för plånboksenheter,

(2)	presentation av attribut för personidentifieringsuppgifter och elektroniska attributsintyg för förlitande parter och andra plånboksenheter,

(3)	överföring av begäranden om radering av uppgifter till förlitande parter,

(4)

rapportering av förlitande parter till tillsynsmyndigheter som inrättats i enlighet med artikel 51 i förordning (EU) 2016/679,

som ska uppdateras regelbundet för att hållas i linje med utvecklingen av teknik och standarder och med det arbete som utförs på grundval av rekommendation (EU) 2021/946, särskilt arkitekturen och referensramen.

Artikel 2

Definitioner

I denna förordning gäller följande definitioner:

(1)	förlitande part: en förlitande part som avser att förlita sig på plånboksenheter för att genom digital interaktion tillhandahålla offentliga eller privata tjänster.

(2)	plånboksanvändare: en användare som kontrollerar plånboksenheten.

(3)	plånbokslösning: en kombination av programvara, hårdvara, tjänster, inställningar och konfigureringar, inklusive plånboksinstanser, en eller flera krypteringsapplikationer och en eller flera krypteringshårdvaror.

(4)	plånboksenhet: en unik konfigurering av en plånbokslösning som omfattar plånboksinstanser, krypteringsapplikationer och krypteringshårdvaror som en plånbokstillhandahållare tillhandahåller en enskild plånboksanvändare.

(5)	plånbokstillhandahållare: en fysisk eller juridisk person som tillhandahåller plånbokslösningar.

(6)	plånboksinstans: den applikation som är installerad och konfigurerad på en plånboksanvändares hårdvara eller i en plånboksanvändares miljö, som ingår i en plånboksenhet och som plånboksanvändaren använder för att interagera med plånboksenheten.

(7)	krypteringsapplikation: en applikation som hanterar kritiska tillgångar genom att vara kopplad till och använda de kryptografiska och icke-kryptografiska funktioner som tillhandahålls av krypteringshårdvaran.

(8)	krypteringshårdvara: manipuleringssäker hårdvara som tillhandahåller en miljö som är kopplad till och används av krypteringsapplikationen för att skydda kritiska tillgångar och tillhandahålla kryptografiska funktioner för att säkert kunna utföra kritiska operationer.

(9)

kritiska tillgångar: tillgångar inom eller i samband med en plånboksenhet som är av sådan extraordinär betydelse att det, om deras konfidentialitet, integritet och tillgänglighet äventyrades, skulle få en mycket allvarlig, funktionsnedsättande inverkan på förmågan att förlita sig på plånboksenheten.

(10)	förlitandepartcertifikat: ett certifikat för elektroniska stämplar eller underskrifter som autentiserar och validerar den förlitande parten och som utfärdats av en tillhandahållare av förlitandepartcertifikat.

(11)	tillhandahållare av förlitandepartcertifikat: en fysisk eller juridisk person som bemyndigats av en medlemsstat att utfärda förlitandepartcertifikat till förlitande parter som är registrerade i den medlemsstaten.

(12)	plånboksenhetsintyg: ett dataobjekt som beskriver plånboksenhetens komponenter eller möjliggör autentisering och validering av dessa komponenter.

(13)	inbyggd policy för utlämnande: en uppsättning regler som en tillhandahållare av ett elektroniskt attributsintyg byggt in i intyget och som anger de villkor som en förlitande part måste uppfylla för att få tillgång till det elektroniska attributsintyget.

(14)	Förlitandepartregistreringscertifikat: ett dataobjekt som anger de attribut som den förlitande parten har registrerat i avsikt att begära från användare.

(15)	tillhandahållare av personidentifieringsuppgifter: en fysisk eller juridisk person som ansvarar för att utfärda och återkalla personidentifieringsuppgifter och säkerställa att en användares personidentifieringsuppgifter är kryptografiskt bundna till en plånboksenhet.

(16)	kryptografisk bindning: metod för att genom kryptering koppla personidentifieringsuppgifter eller elektroniska attributsintyg till plånboksenheter.

Artikel 3

Allmänna bestämmelser

När det gäller de protokoll och gränssnitt som avses i artiklarna 4 och 5 ska plånbokstillhandahållare säkerställa att plånboksenheterna

(1)	autentiserar och validerar förlitandepartcertifikaten när de interagerar med förlitande parter,

(2)	autentiserar och validerar andra plånboksenheters plånboksenhetsintyg när de interagerar med andra plånboksenheter,

(3)	autentiserar och validerar begäranden som gjorts med hjälp av förlitandepartcertifikat eller plånboksenhetsintyg från andra plånboksenheter, i tillämpliga fall,

(4)	i tillämpliga fall autentisera och validera förlitandepartregistreringscertifikatet,

(5)	för plånboksanvändare visa information som finns i förlitandepartcertifikatet eller i plånboksenhetsintygen,

(6)	för plånboksanvändare i tillämpliga fall visar de attribut som plånboksanvändarna uppmanas att presentera,

(7)	i tillämpliga fall för plånboksanvändare visar information som finns i förlitandepartregistreringscertifikatet,

(8)	presenterar plånboksenhetens plånboksenhetsintyg för förlitande parter eller plånboksenheter som begär det,

(9)

inte presenterar några begärda attribut för förlitande parter eller plånboksenheter förrän följande krav är uppfyllda: det har

a)	verifierats att krypteringsapplikationen har autentiserat plånboksanvändarens identitet,

b)	verifierats att inbyggda policyer för utlämnande har behandlats inom plånboksenheten i enlighet med artikel 11 i genomförandeförordning (EU) 2024/2979, i tillämpliga fall,

c)	verifierats att plånboksanvändarna helt eller delvis har godkänt presentationen,

(10)	möjliggör integritetsbevarande teknik som, om de elektroniska attributsintygen inte kräver identifiering av plånboksanvändaren, säkerställer olänkbarhet när intyg eller personidentifieringsuppgifter presenteras för olika förlitande parter.

Artikel 4

Utfärdande av personidentifieringsuppgifter och elektroniska attributsintyg för plånboksenheter

1. Plånbokstillhandahållare ska säkerställa att plånbokslösningar stöder protokoll och gränssnitt för utfärdande av personidentifieringsuppgifter och elektroniska attributsintyg för plånboksenheter.

2. Plånbokstillhandahållare ska säkerställa att plånboksenheterna endast begär att personidentifieringsuppgifter och elektroniska attributsintyg utfärdas av parter som har ett autentiskt och giltigt förlitandepartcertifikat som intygar att de är

a)	tillhandahållare av personidentifieringsuppgifter,

b)	tillhandahållare av ett kvalificerat elektroniskt attributsintyg,

c)	tillhandahållare av ett elektroniskt attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa, eller

d)	tillhandahållare av icke-kvalificerade elektroniska attributsintyg.

3. När det gäller utfärdande av personidentifieringsuppgifter och elektroniska attributsintyg för en plånboksenhet ska plånbokstillhandahållare säkerställa att följande krav är uppfyllda:

Om plånboksanvändare använder sin plånboksenhet för att begära utfärdande av personidentifieringsuppgifter eller elektroniska attributsintyg från tillhandahållare av personidentifieringsuppgifter eller tillhandahållare av elektroniska attributsintyg, som möjliggör utfärdande av personidentifieringsuppgifter eller elektroniska intyg i mer än ett format, ska plånboksenheten begära detta i alla format som avses i artikel 8 i genomförandeförordning (EU) 2024/2979 om tillämpningsföreskrifter för förordning (EU) nr 910/2014 vad gäller integritet och centrala funktioner i EU:s digitala identitetsplånböcker.

Om plånboksanvändare använder sin plånboksenhet för att interagera med tillhandahållare av personidentifieringsuppgifter eller elektroniska attributsintyg ska plånboksenheterna möjliggöra autentisering och validering av plånboksenhetens komponenter genom att på dessa tillhandahållares begäran uppvisa plånboksenhetsintygen för dem.

c)	Plånbokslösningar ska stödja mekanismer som gör det möjligt för tillhandahållare av personidentifieringsuppgifter att kontrollera utfärdande, leverans och aktivering i enlighet med de krav på tillitsnivå hög som anges i kommissionens genomförandeförordning (EU) 2015/1502 (11).

d)	Plånboksenheter ska kontrollera personidentifieringsuppgifternas och de elektroniska attributsintygens äkthet och giltighet.

Artikel 5

Presentation av attribut för förlitande parter

1. Plånbokstillhandahållare ska säkerställa att plånbokslösningarna stöder protokoll och gränssnitt för att på distans och i förekommande fall i närheten presentera attribut för förlitande parter i enlighet med de standarder som anges i bilagan.

2. Plånbokstillhandahållare ska säkerställa att plånboksenheterna på användarnas begäran svarar på autentiserade och validerade begäranden från förlitande parter som avses i artikel 3, i enlighet med de standarder som anges i bilagan.

3. Plånbokstillhandahållare ska säkerställa att plånboksenheterna stöder bevis på innehav av privata nycklar som motsvarar öppna nycklar som används i kryptografiska bindningar.

4. Plånbokstillhandahållare ska säkerställa att plånbokslösningarna stöder selektivt utlämnande av attribut för personidentifieringsuppgifter och elektroniska attributsintyg.

5. Punkterna 1–4 ska i tillämpliga delar gälla för interaktioner mellan två plånboksenheter i närheten.

Artikel 6

Överföring av begäranden om radering av uppgifter

1. Plånbokstillhandahållare ska säkerställa att plånboksenheterna stöder protokoll och gränssnitt som gör det möjligt för plånboksanvändare att av de förlitande parter som de har interagerat med via dessa plånboksenheter begära radering av de personuppgifter som tillhandahållits via dessa plånboksenheter i enlighet med artikel 17 i förordning (EU) 2016/679.

2. De protokoll och gränssnitt som avses i punkt 1 ska göra det möjligt för plånboksanvändare att välja till vilka förlitande parter begäran om radering av uppgifter ska lämnas in.

3. Plånboksenheter ska för plånboksanvändaren visa tidigare inlämnade begäranden om radering av uppgifter som gjorts via dessa plånboksenheter.

Artikel 7

Rapportering av förlitande parter till tillsynsmyndigheter som inrättats i enlighet med artikel 51 i förordning (EU) 2016/679

1. Plånbokstillhandahållare ska säkerställa att plånboksenheterna gör det möjligt för plånboksanvändarna att enkelt rapportera förlitande parter till de tillsynsmyndigheter som inrättats enligt artikel 51 i förordning (EU) 2016/679.

2. Plånbokstillhandahållare ska genomföra protokoll och gränssnitt för rapportering av förlitande parter i enlighet med medlemsstaternas nationella processrätt.

3. Plånbokstillhandahållare ska säkerställa att plånboksenheterna gör det möjligt för plånboksanvändare att styrka rapporterna, bland annat genom att bifoga relevant information för att identifiera förlitande parter, och plånboksanvändarnas påståenden i maskinläsbart format.

Artikel 8

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 28 november 2024.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(4) Kommissionens genomförandeförordning (EU) 2024/2982 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller protokoll och gränssnitt som ska stödjas av det europeiska ramverket för digital identitet (EUT L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).

(5) Kommissionens genomförandeförordning (EU) 2024/2979 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller integritet och centrala funktioner i EU:s digitala identitetsplånböcker (EUT L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).

(6) Kommissionens genomförandeförordning (EU) 2024/2977 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller personidentifieringsuppgifter och elektroniska attributsintyg som utfärdats för EU:s digitala identitetsplånböcker (EUT L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).

(7) Kommissionens genomförandeförordning (EU) 2024/2980 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller anmälningar till kommissionen avseende ekosystemet för EU:s digitala identitetsplånböcker (EUT L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).

(8) EUT L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.

(9) Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(10) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(11) Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (EUT L 235, 9.9.2015, s. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).

BILAGA

STANDARDER SOM AVSES I ARTIKEL 5.1 OCH 5.2

—	ISO/IEC 18013–5:2021

—	ISO/IEC TS 18013–7:2024

ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj

ISSN 1977-0820 (electronic edition)