|
Europeiska unionens |
SV L-serien |
|
2025/2160 |
28.10.2025 |
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/2160
av den 27 oktober 2025
om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller referensstandarder, specifikationer och förfaranden för hantering av risker i samband med tillhandahållande av icke-kvalificerade betrodda tjänster
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 19a.2, och
av följande skäl:
|
(1) |
De icke-kvalificerade tillhandahållarna av betrodda tjänster spelar en viktig roll i den digitala miljön genom att tillhandahålla betrodda tjänster som underlättar säkra elektroniska transaktioner. I förordning (EU) nr 910/2014 införs färre rättsliga krav på icke-kvalificerade tillhandahållare av betrodda tjänster än på kvalificerade tillhandahållare av betrodda tjänster. Alla tillhandahållare av betrodda tjänster omfattas dock av krav på säkerhet och ansvar för att säkerställa tillbörlig aktsamhet, transparens och ansvarsskyldighet i sin verksamhet och sina tjänster. |
|
(2) |
De icke-kvalificerade tillhandahållarna av betrodda tjänster kan betraktas som viktiga eller väsentliga entiteter i enlighet med artikel 3 i Europaparlamentets och rådets direktiv (EU) 2022/2555 (2). Kommissionens genomförandeförordning (EU) 2024/2690 (3) om fastställande av tekniska och metodologiska specifikationer för riskhanteringsåtgärder för cybersäkerhet är därför tillämplig på dem. Tillämpningsområdet för de krav som fastställs i artikel 19a.1 a i förordning (EU) nr 910/2014 avser dock riskhanteringsförfaranden rörande rättsliga, affärsmässiga, operativa och andra direkta eller indirekta risker för tillhandahållandet av icke-kvalificerade betrodda tjänster. För att komplettera den riskhanteringsram som fastställs i genomförandeförordning (EU) 2024/2690 och möjliggöra en enhetlig strategi för hantering av alla relevanta typer av risker bör specifikationer och förfaranden för hur icke-kvalificerade tillhandahållare av betrodda tjänster hanterar dessa risker fastställas. Europeiska unionens cybersäkerhetsbyrå (Enisa) eller nationella behöriga myndigheter enligt direktiv (EU) 2022/2555 kan ge vägledning till de icke-kvalificerade tillhandahållarna av betrodda tjänster vid utformningen och genomförandet av lämpliga riskhanteringspolicyer. |
|
(3) |
Den presumtion om överensstämmelse som fastställs i artikel 19a.2 förordning (EU) nr 910/2014 bör endast tillämpas när de icke-kvalificerade tillhandahållarna av betrodda tjänster uppfyller de krav som fastställs i den här förordningen. De referensstandarder som anges i bilagan bör återspegla etablerade metoder och vara allmänt erkända inom de relevanta sektorerna. För att säkerställa att de icke-kvalificerade tillhandahållarna av betrodda tjänster hanterar rättsliga, affärsmässiga, operativa och andra direkta eller indirekta risker för tillhandahållandet av den icke-kvalificerade betrodda tjänsten i enlighet med artikel 19a.1 i förordning (EU) nr 910/2014, bör de icke-kvalificerade tillhandahållarna av betrodda tjänster uppfylla de referenselement i standarderna som anges i bilagan och de krav på riskhantering som fastställs i denna förordning för presumtionen om överensstämmelse. |
|
(4) |
Om en icke-kvalificerad tillhandahållare av betrodda tjänster uppfyller kraven i denna genomförandeförordning bör tillsynsorganen presumera att de relevanta kraven i förordning (EU) nr 910/2014 är uppfyllda. Det är dock fortfarande tillåtet för en icke-kvalificerad tillhandahållare av betrodda tjänster att använda andra metoder för att visa att kraven i förordning (EU) nr 910/2014 är uppfyllda. |
|
(5) |
För att säkerställa att de identifierade riskerna hanteras på lämpligt sätt bör de riskhanteringspolicyer som tillämpas av de icke-kvalificerade tillhandahållarna av betrodda tjänster omfatta förfaranden för riskdokumentation och riskutvärdering samt för identifiering, urval och genomförande av lämpliga riskhanteringsåtgärder. Genomförandet av riskhanteringsåtgärder bör övervakas kontinuerligt. När de icke-kvalificerade tillhandahållarna av betrodda tjänster registrerar och lagrar information som en del av sina riskhanteringsåtgärder bör de säkerställa integriteten och konfidentialiteten för de uppgifterna. För att öka transparensen och stödja tillsynsverksamheten bör dessutom de icke-kvalificerade tillhandahållarna av betrodda tjänster offentliggöra de metoder för identitetskontroll som de tillämpar. Eftersom inte alla identifierade risker kan hanteras fullt ut genom att undvika, begränsa eller överföra dem till andra enheter, bör eventuella kvarstående risker godkännas av ledningsorganen för icke-kvalificerade tillhandahållare av betrodda tjänster. Kriterierna för att godkänna kvarstående risker bör motiveras på ett begripligt sätt. |
|
(6) |
Kommissionen utvärderar regelbundet ny teknik, nya metoder, standarder eller tekniska specifikationer. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 (4) bör kommissionen vid behov se över och, vid behov, uppdatera denna tillämpningsförordning för att hålla den i linje med den globala utvecklingen, ny teknik, nya metoder samt nya standarder eller tekniska specifikationer och för att följa bästa praxis på den inre marknaden. |
|
(7) |
Europaparlamentets och rådets förordning (EU) 2016/679 (5) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (6) är tillämpliga på behandlingen av personuppgifter enligt denna förordning. |
|
(8) |
Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (7) och avgav ett yttrande den 8 augusti 2025 (8). |
|
(9) |
De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Referensstandarder
De referensstandarder som avses i artikel 19a.2 i förordning (EU) nr 910/2014 anges i bilagan till den här förordningen.
Artikel 2
Policyer för hantering av risker
1. De policyer för hantering av risker som avses i artikel 19a.1 i förordning (EU) nr 910/2014 ska tydligt ange vilka betrodda tjänster de är tillämpliga på, vara specifika för de berörda betrodda tjänsterna och godkännas av ledningsorganet för den icke-kvalificerade tillhandahållaren av betrodda tjänster.
2. Policyerna för hantering av risker ska omfatta åtminstone följande:
|
a) |
Övergripande risktoleransnivå i enlighet med de betrodda tjänsternas kritikalitet och erforderliga säkerhetsnivå, med beaktande av den senaste tekniska utvecklingen. |
|
b) |
Relevanta riskkriterier, inbegripet åtminstone riskens sannolikhet, inverkan och nivå, med beaktande av underrättelser om cyberhot och sårbarheter. |
|
c) |
En metod för identifiering och dokumentation av riskerna i samband med tillhandahållandet av de betrodda tjänsterna, med beaktande av den fullständiga omfattningen av det informationssystem som används av den icke-kvalificerade tillhandahållaren av betrodda tjänster, inbegripet riskerna förknippade med systemets komponenter samt med alla aktiva eller passiva parter som deltar i genomförandet av systemet eller i tillhandahållandet av de betrodda tjänsterna. |
|
d) |
En process för utvärdering av de identifierade riskerna på grundval av de riskkriterier som avses i led b. |
|
e) |
En process för identifiering, prioritering och kontinuerlig övervakning av genomförandet av lämpliga riskbehandlingsåtgärder. |
|
f) |
En process för kontinuerlig övervakning av genomförandet av riskhanteringsstrategierna. |
3. De icke-kvalificerade tillhandahållarna av betrodda tjänster ska inrätta lämpliga förfaranden och bevara dokument för att säkerställa att de krav som fastställs i den tillämpliga lagstiftningen genomförs.
4. De icke-kvalificerade tillhandahållarna av betrodda tjänster ska inrätta lämpliga dokumenterade förfaranden som säkerställer övervakningen av sådana ändringar i lagstiftningen och regelverken på unionsnivå och nationell nivå som kan påverka tillhandahållandet av betrodda tjänster.
Artikel 3
Identifiering, dokumentation och utvärdering av risker
De icke-kvalificerade tillhandahållarna av betrodda tjänster ska identifiera, dokumentera och utvärdera alla risker som avses i artikel 19a.1 i förordning (EU) nr 910/2014 i enlighet med de riktlinjer för riskhantering som avses i artikel 2, och ska särskilt
|
a) |
identifiera risker i förhållande till tredje part, |
|
b) |
identifiera möjlig felkritisk systemdel i tillhandahållandet av de betrodda tjänsterna, |
|
c) |
utvärdera de identifierade riskerna på grundval av de riskkriterier som avses i led b. |
Artikel 4
Riskhanteringsåtgärder
1. I enlighet med de riktlinjer som avses i artikel 2 ska de icke-kvalificerade tillhandahållarna av betrodda tjänster planera, dokumentera och genomföra riskhanteringsåtgärder, och ska, i synnerhet, utföra följande uppgifter:
|
a) |
Identifiera och prioritera lämpliga riskhanteringsåtgärder. |
|
b) |
Välja, godkänna och dokumentera de valda riskhanteringsåtgärderna, inbegripet säkerhetskraven och de operativa förfarandena, i en riskhanteringsplan, fastställa vem som ansvarar för genomförandet av riskhanteringsåtgärderna och när de ska genomföras. |
|
c) |
Kontinuerligt övervaka genomförandet av riskhanteringsåtgärderna. |
2. I den riskhanteringsplan som anges i punkt 1 b ska skälen till att kvarstående risker godtas anges på ett begripligt sätt.
3. Som en del av de riskhanteringsåtgärder som avses i punkt 1 ska de icke-kvalificerade tillhandahållarna av betrodda tjänster även göra följande:
|
a) |
I tillämpliga fall kontrollera identiteten på användarna av den betrodda tjänsten direkt eller genom en tredje part, och offentliggöra information om de metoder för identitetskontroll som används. |
|
b) |
I syfte att tillhandahålla bevis i rättsliga förfaranden och säkerställa tjänsternas kontinuitet, registrera och på ett säkert sätt bevara följande information så länge som det är nödvändigt i enlighet med unionsrätten eller nationell lagstiftning, inbegripet efter det att den icke-kvalificerade tillhandahållaren av betrodda tjänster har upphört med sin verksamhet:
|
|
c) |
I tillämpliga fall säkerställa att de autentiseringsuppgifter som tilldelas användaren av den betrodda tjänsten är unika. |
4. När de icke-kvalificerade tillhandahållarna av betrodda tjänster identifierar, väljer, godkänner och prioriterar lämpliga riskhanteringsåtgärder ska de beakta följande faktorer:
|
a) |
Resultaten från den riskbedömning som avses i artikel 3. |
|
b) |
Effektiviteten hos riskhanteringsåtgärderna. |
|
c) |
Bedömningarna av överensstämmelse. |
|
d) |
Betydande incidenter. |
|
e) |
Kostnaden för genomförandet i förhållande till den förväntade nyttan. |
|
f) |
Den lämpliga tillgångsklassificering som är tillämplig. |
|
g) |
En analys av den möjliga inverkan på verksamheten av de risker som identifierats i enlighet med artikel 3. |
5. Ledningsorganen för de icke-kvalificerade tillhandahållarna av betrodda tjänster ska godkänna de risker som kvarstår efter genomförandet av de riskhanteringsåtgärder som anges i riskhanteringsplanen.
6. De icke-kvalificerade tillhandahållarna av betrodda tjänster ska se över, dokumentera och, när så är lämpligt, uppdatera riskbedömningsresultaten och riskhanteringsplanen med planerade intervall, och minst en gång per år, och när betydande förändringar av infrastrukturen, verksamheten eller riskerna, eller betydande incidenter, inträffar.
7. De icke-kvalificerade tillhandahållarna av betrodda tjänster ska säkerställa tillgängligheten, integriteten och konfidentialiteten för den information som avses i punkt 3 b.
Artikel 5
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 27 oktober 2025.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(3) Kommissionens genomförandeförordning (EU) 2024/2690 av den 17 oktober 2024 om fastställande av regler för tillämpningen av direktiv (EU) 2022/2555 vad gäller tekniska och metodologiska specifikationer för riskhanteringsåtgärder för cybersäkerhet och närmare angivelse av i vilka fall en incident ska anses vara betydande med avseende på leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av utlokaliserade driftstjänster, leverantörer av utlokaliserade säkerhetstjänster, leverantörer av marknadsplatser online, leverantörer av sökmotorer, leverantörer av plattformar för sociala nätverkstjänster och tillhandahållare av betrodda tjänster (EUT L, 2024/2690, 18.10.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj).
(4) Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(5) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(6) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(7) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(8) EDPS formella synpunkter på utkastet till tillämpningsförordning vad gäller specifikationer och förfaranden för hantering av risker i samband med tillhandahållande av icke-kvalificerade betrodda tjänster |Europeiska datatillsynsmannen.
BILAGA
Förteckning över referensstandarder för icke-kvalificerade tillhandahållare av betrodda tjänster
Krav enligt följande klausuler i standarden Etsi EN 319 401 V3.1.1 (2024-06): “Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers” (Elektroniska underskrifter och infrastrukturer: allmänna policykrav för tillhandahållare av betrodda tjänster) ska gälla:
|
5. |
Riskbedömning. |
|
6. |
Policy och metoder. |
|
7.1. |
Intern organisation. |
|
7.2. |
Personalresurser. |
|
7.3 |
Förvaltning av tillgångar. |
|
7.4 |
Tillträdeskontroll. |
|
7.6 |
Fysisk säkerhet och miljöskydd. |
ELI: http://data.europa.eu/eli/reg_impl/2025/2160/oj
ISSN 1977-0820 (electronic edition)