|
Europeiska unionens |
SV L-serien |
|
2025/1569 |
30.7.2025 |
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/1569
av den 29 juli 2025
om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller kvalificerade elektroniska attributsintyg och elektroniska attributsintyg som tillhandahålls av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artiklarna 45d.5, 45e.2, 45f.6 och 45f.7, och
av följande skäl:
|
(1) |
Genom förordning (EU) nr 910/2014 inrättas en rättslig ram för utfärdande och validering av elektroniska attributsintyg, inbegripet en skyldighet för tillhandahållare av elektroniska attributsintyg att ge användare av den europeiska digitala identitetsplånboken (plånboken) möjlighet att begära, erhålla, lagra och hantera det elektroniska attributsintyget oavsett i vilken medlemsstat plånböckerna tillhandahålls. De elektroniska attributsintygen är avgörande för inrättandet av ett säkert och interoperabelt ekosystem för europeiska digitala identitetsplånböcker (plånboksekosystemet). De gör det möjligt för användarna att dela information med förlitande parter på ett tillförlitligt sätt i en rad olika användningsfall. |
|
(2) |
Gränssnitten med europeiska digitala identitetsplånböcker som ska tillhandahållas av tillhandahållarna av kvalificerade elektroniska attributsintyg i enlighet med artikel 45g i förordning (EU) nr 910/2014 understryker vikten av de elektroniska attributsintygen för plånboksekosystemet och underlättar en snabb spridning av dem. |
|
(3) |
Kommissionen utvärderar regelbundet ny teknik, nya metoder, standarder eller tekniska specifikationer. För att säkerställa största möjliga harmonisering bland medlemsstaterna för utveckling och certifiering av plånböcker bygger de tekniska specifikationerna i denna förordning på det arbete som utförts enligt kommissionens rekommendation (EU) 2021/946 av den 3 juni 2021 om en unionsgemensam verktygslåda för en samordnad strategi för en europeisk ram för digital identitet (2), särskilt arkitekturen och referensramen som är en del av den. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 (3) bör kommissionen vid behov se över och uppdatera denna genomförandeförordning för att hålla den i linje med den globala utvecklingen, arkitekturen och referensramen och för att följa praxis på den inre marknaden, särskilt när det gäller utfärdandet av elektroniska attributsintyg och kontrollen av attribut mot autentiska källor eller särskilt utsedda mellanhänder. |
|
(4) |
Om tillhandahållare av kvalificerade elektroniska attributsintyg och elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa utfärdar intyg som anger att de uppfyller kraven i de system för attributsintyg som registrerats i katalogen, bör policyerna och förfarandena för efterlevnad av kraven i de systemen ingå i den bedömning av överensstämmelse som fastställs i förordning (EU) nr 910/2014. |
|
(5) |
Skydd mot otillförlitlig information är mycket viktigt för digitaliseringen av intyg. Därför bör kvalificerade elektroniska attributsintyg och elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa kunna återkallas, eller bör alternativa åtgärder vidtas för att kompensera för riskerna förbundna med att de inte kan återkallas. Vissa omständigheter, såsom en uttrycklig begäran från den person till vilken det elektroniska attributsintyget utfärdades, eller om leverantören vet att säkerheten eller tillförlitligheten hos de kvalificerade elektroniska attributsintygen har äventyrats, eller om så krävs enligt unionsrätten eller nationell rätt, bör leda till att leverantören återkallar ett elektroniskt attributsintyg. För att skydda användarens grundläggande rätt till integritet och dataskydd, särskilt genom att på lämpligt sätt minimera riskerna för länkbarhet och spårbarhet, bör leverantörerna av kvalificerade elektroniska attributsintyg och elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa fastställa policyer för hantering av återkallande som bevarar integriteten. |
|
(6) |
För att underlätta samarbetet mellan medlemsstaterna och inrättandet av ett säkert och interoperabelt ekosystem för digital identitet, inbegripet gränsöverskridande erkännande och interoperabilitet för kvalificerade elektroniska attributsintyg och elektroniska attributsintyg som tillhandahålls av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa, måste förenklade administrativa förfaranden för kommunikation mellan de berörda parterna införas, inbegripet offentliggörande av information för att snabbt identifiera relevanta offentliga organ. Medlemsstaterna bör meddela de relevanta attributen till kommissionen. För att säkerställa en snabb, effektiv och interoperabel kontroll av dessa attribut bör de relevanta anmälningarna till kommissionen vara åtminstone på engelska, eftersom det underlättar en bred tillgänglighet och gör det lättare att bedöma och förstå dem, och samtidigt förbättrar samarbetet mellan de berörda parterna. Översättning av dokumentation som redan finns bör dock inte medföra orimliga administrativa eller ekonomiska bördor. |
|
(7) |
För att göra det möjligt för användarna och tjänsteleverantörerna att kontrollera att d elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa verkligen har utfärdats av det offentliga organet eller för dess räkning, bör medlemsstaterna underrätta kommissionen om dessa offentliga organ. När medlemsstaterna underrättar kommissionen om offentliga myndigheter som utfärdar elektroniska attributsintyg i enlighet med artikel 45f i och bilaga VII till förordning (EU) nr 910/2014 ska de tillhandahålla en rapport om bedömning av överensstämmelse som bekräftar att tillförlitlighetsnivån är likvärdig med den för kvalificerade tillhandahållare av betrodda tjänster. Till skillnad från kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg är det, för dessa offentliga myndigheter, dock upp till medlemsstaterna att se till att tillhandahållarna uppfyller kraven över tid. För att ett högt förtroende för intyg från den offentliga sektorn ska upprätthållas i hela unionen uppmanas medlemsstaterna därför att dela med sig av sin bästa praxis om hur de säkerställer fortsatt tillförlitlighet genom den europeiska samarbetsgrupp för digital identitet som inrättats i enlighet med artikel 46e.1 i förordning (EU) nr 910/2014 (samarbetsgruppen). Kommissionen bör upprätta, underhålla och offentliggöra en förteckning över leverantörer och se till att denna förteckning är lättillgänglig för allmänheten. |
|
(8) |
Kommissionen bör upprätta en katalog med attribut med bistånd av samarbetsgruppen för att göra det lättare för kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg att kontrollera attributen mot autentiska källor. Registrering i katalogen med attribut bör vara obligatorisk för de attribut som förtecknas i bilaga VI till förordning (EU) nr 910/2014. För andra attribut skulle en registrering vara frivillig. |
|
(9) |
Kommissionen bör upprätta en katalog med system för attributsintyg med bistånd av samarbetsgruppen för att göra det lättare för kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg och för tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa, att utfärda intyg och för att underlätta harmonisering och gränsöverskridande interoperabilitet mellan dessa intyg. Registreringen av system i katalogen med system bör vara frivillig. Begäranden om registrering eller ändringar i katalogen bör göras av ägaren till systemet för attributsintyg och får omfatta attribut som inte förtecknas i katalogen med attribut. Kommissionen bör bedöma dessa begäranden med beaktande av interoperabilitets- och harmoniseringsbehoven. |
|
(10) |
För att säkerställa att katalogen med attribut ger meningsfull information och uppnår en hög grad av interoperabilitet inom ekosystemet för det elektroniska attributsintyget bör den åtminstone innehålla en minimiuppsättning information, såsom en semantisk beskrivning av attributet, beteckningens namnrymd och attributets datatyp. I samma syfte bör katalogen med system för attributsintyg innehålla beskrivningar av vanligt förekommande typer av elektroniska attributsintyg och en beskrivning av den tillitsmodell och de styrningsmekanismer som tillämpas inom intygssystemet. Informationen i katalogerna bör omfatta en versionshantering av attribut och system så att intyg som utfärdas i enlighet med specifika versioner inte påverkas av förändringar i de attributen och systemen. |
|
(11) |
För att säkerställa effektiviteten i den kontroll av attribut mot autentiska källor som görs av kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintygen, inbegripet via särskilt utsedda mellanhänder som tillhandahåller tjänsteleverantörer indirekta kontrollmekanismer, bör medlemsstaterna, inom den tidsfrist som anges i artikel 45e.1 i förordning (EU) nr 910/2014, inrätta mekanismer som gör det möjligt för kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg att begära kontroll av attribut. Mekanismerna bör göra det möjligt för kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg att avgöra vilka attribut som kan kontrolleras och hur de ska kontrolleras. Dessa mekanismer bör omfatta närmare uppgifter om åtkomstpunkter och tjänsteprotokoll för kontroll av attributets giltighet och riktighet och beakta möjligheten att erbjuda en enda kontrollpunkt på nationell nivå. |
|
(12) |
Mer specifikt bör medlemsstaterna ge kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg tillgång till mekanismerna för att få åtkomst till och använda kontrollpunkterna för vart och ett av de attribut som förtecknas i bilaga VI till förordning (EU) nr 910/2014, på nationell nivå. Dessa mekanismer bör göra det möjligt för kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg att, på användarens begäran, presentera specifika attribut för en kontrollpunkt för utfärdandet av intyget och under dess livstid. I kontrollmekanismerna bör det användas elektroniska medel som lämpar sig för automatiserad behandling, och för att få svar från kontrollpunkten så snabbt som möjligt. Detta svar bör bekräfta om de attribut som de kvalificerade tillhandahållarna av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg presenterar motsvarar de attribut som lagrats rörande den användaren i den relevanta autentiska källan och bör specificera mot vilken autentiska källa kontrollen utfördes. För att undvika försummelser, såsom olagliga eller uppenbart överdrivna begäranden om kontroller, får medlemsstaterna införa kontrollmekanismer avseende användningen av kontrollpunkterna, om de anser detta lämpligt med beaktande av relevanta faktorer, inbegripet huruvida de autentiska källorna innehåller information som bör betraktas som personuppgifter eller som på annat sätt är konfidentiell eller känslig till sin natur enligt unionsrätten eller nationell rätt. |
|
(13) |
I enlighet med de principer som fastställs i akten om ett interoperabelt Europa (4) bör kommissionen, i syfte att underlätta inrättandet av en katalog med attribut och en katalog med system för attributsintyg och att återanvända, så långt det är möjligt, befintliga kataloger, system och information, när så är lämpligt, utnyttja synergier med det tekniska systemets gemensamma tjänster i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1724 om inrättande av en gemensam digital ingång och om ändring av förordning (EU) nr 1024/2012 (5). |
|
(14) |
För att förbättra interoperabiliteten för elektroniska attributsintyg som utfärdats av icke-kvalificerade tillhandahållare av betrodda tjänster får de principer och krav som fastställs i denna förordning följas av utfärdare av intyg med avseende på icke-kvalificerade elektroniska attributsintyg. |
|
(15) |
Europaparlamentets och rådets förordning (EU) 2016/679 (6) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (7) är tillämpliga på behandlingen av personuppgifter enligt denna förordning. |
|
(16) |
I syfte att ge kommissionen och medlemsstaterna tillräckligt med tid att upprätta förteckningen över tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa, bör kraven i denna förordning avseende katalogen med attribut, katalogen med system för attributsintyg och kontrollpunkterna för attribut bli tillämpliga tolv månader efter dagen för denna förordnings ikraftträdande. |
|
(17) |
Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (8) och avgav ett yttrande den 31 januari 2025. |
|
(18) |
De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Innehåll och tillämpningsområde
I denna förordning fastställs de referensstandarder, specifikationer och förfaranden som ska uppdateras regelbundet för att hållas i linje med utvecklingen av teknik och standarder och med det arbete som utförs på grundval av rekommendation (EU) 2021/946, särskilt arkitekturen och referensramen, som rör
|
(1) |
kvalificerade elektroniska attributsintyg, |
|
(2) |
elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa, |
|
(3) |
förteckningen över tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa, |
|
(4) |
katalogen med attribut och katalogen med system för de attributsintyg som avses i punkterna 1 och 2, |
|
(5) |
kontrollen av attribut mot autentiska källor eller särskilt utsedda mellanhänder. |
Artikel 2
Definitioner
I denna förordning gäller följande definitioner:
|
(1) |
plånboksenhet: en unik konfigurering av en plånbokslösning som omfattar plånboksinstanser, krypteringsapplikationer och krypteringshårdvaror som en plånbokstillhandahållare tillhandahåller en enskild plånboksanvändare. |
|
(2) |
plånboksanvändare: en användare som kontrollerar plånboksenheten. |
|
(3) |
katalog med attribut: en digital förteckning över attribut som underhålls och offentliggörs online av kommissionen. |
|
(4) |
system för attributsintyg: en uppsättning regler som är tillämpliga på en eller flera typer av elektroniska attributsintyg. |
|
(5) |
typ av elektroniskt attributsintyg: en särskilt namngiven och semantiskt beskriven grupp av elektroniska attributsintyg. |
|
(6) |
katalog med system för attributsintyg: en digital förteckning över de system för attributsintyg som registrerats i enlighet med denna förordning och som upprätthålls [och offentliggörs online] av kommissionen. |
|
(7) |
plånbokslösning: en kombination av programvara, hårdvara, tjänster, inställningar och konfigureringar, inklusive plånboksinstanser, en eller flera krypteringsapplikationer och en eller flera krypteringshårdvaror. |
|
(8) |
plånboksinstans: den applikation som är installerad och konfigurerad på en plånboksanvändares hårdvara eller i en plånboksanvändares miljö, som ingår i en plånboksenhet och som plånboksanvändaren använder för att interagera med plånboksenheten. |
|
(9) |
krypteringsapplikation: en applikation som hanterar kritiska tillgångar genom att vara kopplad till och använda de kryptografiska och icke-kryptografiska funktioner som tillhandahålls av krypteringshårdvaran. |
|
(10) |
krypteringshårdvara: manipuleringssäker hårdvara som tillhandahåller en miljö som är kopplad till och används av krypteringsapplikationen för att skydda kritiska tillgångar och tillhandahålla kryptografiska funktioner för att säkert kunna utföra kritiska operationer. |
|
(11) |
plånbokstillhandahållare: en fysisk eller juridisk person som tillhandahåller plånbokslösningar. |
|
(12) |
kritiska tillgångar: tillgångar inom eller i samband med en plånboksenhet som är av sådan extraordinär betydelse att det, om deras konfidentialitet, integritet och tillgänglighet äventyrades, skulle få en mycket allvarlig, funktionsnedsättande inverkan på förmågan att förlita sig på plånboksenheten. |
|
(13) |
ägare av ett system för attributsintyg: en enhet med ansvar för att inrätta och upprätthålla ett system för attributsintyg. |
Artikel 3
Utfärdande av kvalificerade elektroniska attributsintyg och elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa
1. Tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa, ska vara i överensstämmelse med förteckningen över referensstandarder och specifikationer i bilaga I och säkerställa att de elektroniska attributsintyg som de utfärdar överensstämmer med de tekniska specifikationerna i bilaga II.
2. Om tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa utfärdar elektroniska attributsintyg som ingår i system som är registrerade i katalogen med system för attributsintyg, ska de uppfylla kraven i motsvarande system för attributsintyg. De policyer och förfaranden som fastställs av utfärdarna av intyg för att bevilja överensstämmelse med kraven i systemen för attributsintyg ska ingå i den bedömning av överensstämmelse som fastställs i förordning (EU) nr 910/2014.
Artikel 4
Återkallande av kvalificerade elektroniska attributsintyg och elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa
1. Tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa ska ha skriftliga och allmänt tillgängliga policyer för hantering av status som giltigt eller återkallat. Dessa policyer ska i tillämpliga fall omfatta de villkor enligt vilka elektroniska attributsintyg kan återkallas utan dröjsmål och åtgärder för att säkerställa tillgången till information om giltighetsstatus.
2. Tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa ska ha samma rättsliga verkan som lagligt utfärdade intyg i pappersformat.
3. Tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av elektroniska intyg på attribut som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa, när dessa intyg utfärdas med en giltighetstid på mer än 24 timmar, ska återkalla dem under åtminstone följande omständigheter:
|
(a) |
På uttrycklig begäran av den person till vilken det elektroniska attributsintyget utfärdades eller, i tillämpliga fall, av föremålet för intyget. |
|
(b) |
Om leverantören vet att säkerheten eller tillförlitligheten hos de kvalificerade elektroniska attributsintyg eller elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa har äventyrats. |
|
(c) |
I andra situationer, i enlighet med kraven i unionsrätten eller nationell rätt, eller enligt vad som fastställs av leverantörerna i deras policyer enligt punkt 1. |
4. Tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa ska inrätta tekniker och förvaltningsmetoder för återkallande som bevarar integriteten och förhindrar länkbarhet och spårbarhet.
5. Tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa ska ge förlitande parter tillgång till information om giltighets- eller återkallandestatusen för de elektroniska attributsintyg de utfärdat på ett sätt som säkerställer informationens integritet och äkthet.
Artikel 5
Anmälningar till offentliga myndigheter
1. Medlemsstaterna ska lämna in åtminstone den information som anges i bilaga III om de offentliga organen i enlighet med artikel 45f.3 i förordning (EU) nr 910/2014 genom ett säkert elektroniskt anmälningssystem som tillhandahålls av kommissionen.
2. Medlemsstaterna ska anmäla alla ändringar av de anmälda uppgifterna.
3. Medlemsstaterna ska åtminstone göra anmälningarna på engelska. Medlemsstaterna ska inte vara skyldiga att översätta handlingar som styrker anmälningarna om detta skulle medföra en orimlig administrativ eller ekonomisk börda.
4. Kommissionen får vid behov begära att medlemsstaterna lämnar ytterligare information.
Artikel 6
Offentliggörande av förteckningen över offentliga organ
1. Kommissionen ska upprätta, underhålla och offentliggöra en förteckning över tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa på grundval av den information som medlemsstaterna anmält i enlighet med artikel 5.
2. Kommissionen ska säkerställa att tillgång ges till den förteckning som avses i punkt 1 i denna artikel
|
(a) |
både i elektroniskt undertecknad eller stämplad form som lämpar sig för automatiserad behandling och via en människoläsbar webbplats, |
|
(b) |
utan att behöva registrera sig eller autentiseras, |
|
(c) |
endast genom att använda den senaste transportlagersäkerheten. |
3. Kommissionen ska genom en säker kanal och utan onödigt dröjsmål offentliggöra
|
(a) |
de tekniska specifikationerna i förteckningen, |
|
(b) |
den webbadress där förteckningen offentliggörs, |
|
(c) |
de certifikat som ska användas för att kontrollera den elektroniska underskriften eller stämpeln i förteckningarna, |
|
(d) |
uppgifter om de mekanismer som används för att validera framtida ändringar av den plats eller av de certifikat som avses i leden b respektive c. |
Artikel 7
Skapande och underhåll av katalogen med attribut
1. Kommissionen ska upprätta och offentliggöra en katalog med attribut och inrätta ett säkert system som möjliggör begäranden om att föra in eller ändra attribut i katalogen med attribut.
2. Kommissionen ska bedöma de begäranden som görs med hjälp av det system som avses i punkt 1 för att för in eller ändra ett attribut i katalogen med attribut, efter att ha beaktat eventuella råd från samarbetsgruppen. Kommissionens bedömning ska ta hänsyn till huruvida införandet av attributet bidrar till en gemensam grund för säker och integritetsmedveten elektronisk interaktion mellan medborgarna, företagen och de offentliga myndigheter och till att främja interoperabilitet. Kommissionen ska också i tillämpliga fall ta hänsyn till sektorsspecifika förordningar.
3. Medlemsstaterna ska begära att de attribut som förtecknas i bilaga VI till förordning (EU) nr 910/2014 förs in i katalogen med attribut när de attributen bygger på autentiska källor i enlighet med den kontroll som utförts av de kvalificerade tillhandahållarna av betrodda tjänster.
4. Dessutom får medlemsstaterna begära att de attribut som inte förtecknas i bilaga VI förs in i katalogen med attribut när de attributen bygger på autentiska källor inom den offentliga sektorn. Privata enheter som anses vara en primär informationskälla eller som erkänns som autentiska i enlighet med unionsrätten eller nationell rätt, inbegripet administrativ praxis, får begära att attribut som inte förtecknas i bilaga VI förs in i katalogen med attribut när den begärande enheten ansvarar för de attributen.
5. Begäran om att föra in eller ändra ett attribut i katalogen ska innehålla åtminstone följande information:
|
(a) |
Identifiering av den enhet som gör begäran. |
|
(b) |
I tillämpliga fall, en hänvisning till unionsrätten, nationell rätt eller administrativ praxis enligt vilken den enhet som gör begäran anses vara en primär informationskälla eller erkänd autentisk källa. |
|
(c) |
Om begäran avser ett attribut som redan finns i katalogen eller ett nytt attribut. |
|
(d) |
En namnrymd för attributens beteckning, vars värde är unikt inom katalogen med attribut. |
|
(e) |
En beteckning för attributet, unik inom namnrymden, och versionen av attributet. |
|
(f) |
Semantisk beskrivning av attributet. |
|
(g) |
Attributets datatyp. |
|
(h) |
Kontrollpunkten för attributet på nationell nivå eller en länk till en beskrivning av hur begäran om kontroll inleds. |
6. Begäran om att för in eller ändra ett attribut ska undertecknas eller förseglas av den begärande parten med hjälp av en kvalificerad elektronisk underskrift eller stämpel eller en avancerad elektronisk underskrift eller stämpel baserad på ett kvalificerat certifikat.
7. Efter den bedömning som avses i punkt 2 och efter att ha kontrollerat att de uppgifter som lämnats i begäran om införande eller ändring av ett attribut innehåller all den information som förtecknas i punkt 5, får kommissionen för in det begärda attributet eller den begärda ändringen i katalogen med attribut.
8. Katalogen med attribut som är förseglad av kommissionen ska vara tillgänglig för allmänheten, via en säker kanal, kostnadsfritt och utan föregående identifiering eller autentisering, och ska offentliggöras i både maskinläsbara och människoläsbara former. Katalogen ska också innehålla en sökfunktion.
9. Kommissionen ska offentliggöra de tekniska specifikationer som kommissionen använder för katalogen med attribut.
10. Kommissionen ska utfärda en unik beteckning för varje registrerat attribut.
Artikel 8
Skapande och underhåll av katalogen med system för attributsintyg
1. Kommissionen ska upprätta och offentliggöra en katalog med system för attributsintyg upprätta ett säkert system som möjliggör begäranden om att föra in eller ändra system för attributsintyg i katalogen med system för attributsintyg.
2. Begäranden om att inkludera eller ändra system för attributsintyg i katalogen över system för attributsintyg ska bedömas av kommissionen efter att ha beaktat eventuella råd från samarbetsgruppen. Kommissionens bedömning ska ta hänsyn till huruvida systemet bidrar till en gemensam grund för säker och integritetsmedveten elektronisk interaktion mellan medborgarna, företagen och de offentliga myndigheter och bidrar till att främja interoperabilitet. Kommissionen ska också i tillämpliga fall ta hänsyn till sektorsspecifika förordningar..
3. Ägare till ett system för attributsintyg får begära att system läggs till i katalogen med system. En begäran om att införa eller ändra ett system i katalogen med system för attributsintyg ska innehålla åtminstone följande:
|
(a) |
Systemets namn, som valts av ägaren av systemet för attributsintyg och som är unikt inom katalogen med system för attributsintyg. |
|
(b) |
Namn på och kontaktuppgifter till ägaren till systemet för attributsintyg. |
|
(c) |
Systemets status och version. |
|
(d) |
En hänvisning till särskilda lagar, standarder eller riktlinjer, om utfärdandet, valideringen eller användningen av ett elektroniskt attributsintyg inom ramen för systemet omfattas av dem. |
|
(e) |
Formatet eller formaten för elektroniska attributsintyg inom ramen för systemet. |
|
(f) |
En eller flera namnrymder, attributidentifierare, semantiska beskrivningar och datatyper för varje attribut som ingår i ett elektroniskt attributsintyg inom ramen för systemet, antingen genom hänvisning till ett attribut i katalogen med attribut i artikel 7 eller ett attribut som definieras på ett analogt sätt inom ramen för systemet. |
|
(g) |
En beskrivning av tillitsmodellen och de styrningsmekanismer som tillämpas inom ramen för systemet, inbegripet återkallandemekanismerna. |
|
(h) |
Eventuella krav avseende tillhandahållare av elektroniska attributsintyg eller de informationskällor som dessa leverantörer förlitar sig på när de utfärdar elektroniska attributsintyg, inbegripet eventuella autentiska källor, i tillämpliga fall. |
|
(i) |
Ett uttalande om huruvida elektroniska attributsintyg inom systemets tillämpningsområde ska utfärdas som kvalificerade elektroniska attributsintyg, som elektroniska attributsintyg som utfärdas av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa, eller som båda. |
4. De system för vilka införande i katalogen begärs ska endast innehålla attribut som är identifierbara på grundval av unika beteckningar. Begäran om att för in eller ändra ett system för attributsintyg ska undertecknas eller förseglas av den begärande parten med hjälp av en kvalificerad elektronisk underskrift eller stämpel eller en avancerad elektronisk underskrift eller stämpel baserad på ett kvalificerat certifikat.
5. Efter den bedömning som avses i punkt 2 och efter att ha kontrollerat att de uppgifter som lämnats i begäran om införande eller ändring av ett intygssystem innehåller all den information som förtecknas i punkt 4, får kommissionen för in det begärda systemet eller den begärda ändringen i katalogen med system för attributsintyg.
6. Katalogen med system för attributsintyg, som är förseglad av kommissionen, ska vara tillgänglig för allmänheten, via en säker kanal, kostnadsfritt och utan föregående identifiering eller autentisering, och ska vara maskinläsbar och människoläsbar. Katalogen ska också innehålla en sökfunktion och vara i ett format som garanterar integritet och autenticitet.
7. Kommissionen ska offentliggöra de tekniska specifikationer som kommissionen använder för katalogen med system för attributsintyg.
8. Kommissionen ska utfärda en unik beteckning för varje registrerat system för attributsintyg.
Artikel 9
Kontroll av attribut mot autentiska källor eller särskilt utsedda mellanhänder
1. För att de kvalificerade tillhandahållarna av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg ska kunna utföra en elektronisk kontroll av de attribut som avses i artikel 45e.1 i förordning (EU) nr 910/2014 ska medlemsstaterna, på användarens begäran, inrätta mekanismer som möjliggör den kontrollen och får tillgängliggöra gemensamma kontrollpunkter för de attribut som förtecknas i bilaga VI till den förordningen, om de attributen bygger på autentiska källor inom den offentliga sektorn. Medlemsstaterna ska offentliggöra information om förfarandena för inledande av begäran om kontroll och för mottagande av kontrollresultaten.
2. Kontrollmekanismen ska tillhandahålla en åtkomstpunkt där kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska intyg på attribut på elektronisk väg kan begära kontroll mot autentiska källor eller särskilt utsedda mellanhänder som erkänts på nationell nivå av de attribut som avses i artikel 45e.1 i förordning (EU) nr 910/2014. Den kvalificerade tillhandahållaren av betrodda tjänster kommer att, på användarens begäran, till kontrollpunkten tillhandahålla de attribut som är föremål för kontroll. Det offentliga organet eller den särskilt utsedda mellanhanden ska, via kontrollpunkten, dela kontrollresultaten med de kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg.
3. I kontrollbegäran ska attributen och identifieringsuppgifterna för föremålet för attributet för vilket den kvalificerade tillhandahållaren av betrodda tjänster begär kontrollen anges.
4. Kontrollresultatet ska endast ange om attributet har kontrollerats eller inte och specificera den offentliga myndighet som ansvarar för den autentiska källan eller, i tillämpliga fall, det offentliga organ som utsetts att agera på den autentiska källans vägnar, som attributet har kontrollerats mot.
5. Medlemsstaterna får införa åtkomstkontroller eller andra kontrollmekanismer som säkerställer integritet, autenticitet och konfidentialitet för att fastställa att den begärande parten är en kvalificerad tillhandahållare av betrodda tjänster och agerar på begäran av en legitim användare. Medlemsstaterna får också införa mekanismer för kontroll av användningen av kontrollmetoderna, om de finner detta lämpligt, med beaktande av relevanta faktorer, inbegripet huruvida de autentiska källorna innehåller konfidentiella personuppgifter eller känsliga uppgifter. Om medlemsstaterna inrättar dessa kontrollmekanismer, ska de offentliggöra information om kontrollmekanismernas omfattning som en del av den information som avses i punkt 1.
Artikel 10
Interoperabilitet och återanvändning
1. Vid tillämpning av artiklarna 3–9 får medlemsstaterna hänvisa till och återanvända de gemensamma tjänsterna i det tekniska system som fastställs i artikel 14 i förordning (EU) 2018/1724 och de nationella komponenter som är anslutna till dem.
2. När Europeiska kommissionen upprättar det säkra anmälningssystemet och förteckningen över offentliga myndigheter enligt artiklarna 5 och 6 och katalogerna enligt artiklarna 7 och 8 i denna förordning ska den hänvisa till och vid behov återanvända gemensamma tjänsterna i det tekniska systemet enligt förordning (EU) 2018/1724.
Artikel 11
Ikraftträdande och tillämpning
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Artiklarna 6–9 ska tillämpas från och med den 19 augusti 2026.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 29 juli 2025.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) EUT L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(3) Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Europaparlamentets och rådets förordning (EU) 2024/903 av den 13 mars 2024 om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (förordningen om ett interoperabelt Europa) (EUT L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).
(5) Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 (EUT L 295, 21.11.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).
(6) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(7) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
BILAGA I
Förteckning över referensstandarder och specifikationer som avses i artikel 3
Tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa ska utfärda intygen till fysiska och juridiska personer i enlighet med specifikationerna för tillhandahållare av betrodda tjänster i standarden ETSI EN 319 401 v3.1.1 (2024-06) (ETSI EN 319 401).
BILAGA II
Tekniska specifikationer för utfärdande av kvalificerade elektroniska attributsintyg och elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa som avses i artikel 3
|
(1) |
Tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa ska utfärda intygen i ett format som överensstämmer med en av de standarder som förtecknas i bilaga II till kommissionens genomförandeförordning (EU) 2024/2979 (1). |
|
(2) |
För utfärdande av intyg till fysiska och eller juridiska personer ska tillhandahållare av kvalificerade elektroniska attributsintyg och tillhandahållare av elektroniska attributsintyg som utfärdats av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa
|
|
(3) |
Om intyget har utfärdats för den europeiska digitala identitetsplånboken, ska tillhandahållaren av intyget dessutom
|
(1) Kommissionens genomförandeförordning (EU) 2024/2979 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller integritet och centrala funktioner hos EU:s digitala identitetsplånböcker (EUT L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
BILAGA III
Anmälningar som anges i artikel 5
Medlemsstaterna ska anmäla åtminstone följande till kommissionen:
|
(1) |
Namnet på det offentliga organet och, i förekommande fall, det registreringsnummer som används i officiella handlingar. Den medlemsstat där det offentliga organet är etablerat. Den unionslagstiftning eller nationella lagstiftning i enlighet med vilken det offentliga organet har inrättats som ansvarigt för den autentiska källa på grundval av vilken det elektroniska attributsintyget utfärdas eller utsetts att agera på vägnar av det offentliga organ som är ansvarigt för den autentiska källan. |
|
(2) |
Den e-postadress och det telefonnummer som det offentliga organet kan kontaktas på. |
|
(3) |
Webbadressen till den webbsida som innehåller ytterligare information om det offentliga organet. |
|
(4) |
Rapport om bedömning av överensstämmelse som anges i artikel 45f.3 i förordning (EU) nr 910/2014. |
ELI: http://data.europa.eu/eli/reg_impl/2025/1569/oj
ISSN 1977-0820 (electronic edition)