Kommissionens genomförandeförordning (EU) 2025/848 av den 6 maj 2025 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller registrering av förlitande parter

Europeiska unionens
officiella tidning

L-serien

2025/848

7.5.2025

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/848

av den 6 maj 2025

om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller registrering av förlitande parter

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 5b.11, och

av följande skäl:

(1)

För registreringen av förlitande parter som avser att förlita sig på europeiska digitala identitetsplånböcker (plånböcker) för tillhandahållandet av offentliga och privata tjänster, i enlighet med kraven i förordning (EU) nr 910/2014, bör medlemsstaterna upprätta och underhålla nationella register över förlitande parter som är etablerade på deras territorium.

(2)

Kommissionen utvärderar regelbundet ny teknik, nya metoder, standarder eller tekniska specifikationer. För att säkerställa största möjliga harmonisering bland medlemsstaterna för utveckling och certifiering av plånböcker bygger de tekniska specifikationerna i denna förordning på det arbete som utförts enligt kommissionens rekommendation (EU) 2021/946 (2), särskilt arkitekturen och referensramen som är en del av den. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 (3) bör kommissionen vid behov se över och uppdatera denna genomförandeförordning för att hålla den i linje med den globala utvecklingen, arkitekturen och referensramen och för att följa praxis på den inre marknaden.

(3)

För att säkerställa bred tillgång till registren och uppnå interoperabilitet bör medlemsstaterna inrätta både människo- och maskinläsbara gränssnitt som uppfyller de tekniska specifikationer som fastställs i denna förordning. Tillhandahållarna av förlitandepartcertifikat och förlitandepartregistreringscertifikat, i förekommande fall, bör också kunna förlita sig på dessa gränssnitt vid utfärdandet av de certifikaten.

(4)	Registreringspolicyerna ger tydlig vägledning till de förlitande parterna om registreringsprocessen, och medlemsstaterna bör därför fastställa och offentliggöra en eller flera nationella registreringspolicyer som är tillämpliga på de nationella register som upprättats på deras territorium.

(5)

Syftet med registreringen av förlitande parter är att skapa förtroende för användningen av plånböcker genom ökad transparens. Därför bör medlemsstaterna göra den relevanta informationen tillgänglig för allmänheten i både människo- och maskinläsbart format. För att åstadkomma detta bör de förlitande parterna tillhandahålla den nödvändiga informationen, inbegripet deras rättighet eller rättigheter, till de nationella registren.

(6)	Vidare bör de förlitande parterna av transparensskäl ange om de avser att förlita sig på elektronisk identifiering av fysiska personer.

(7)

För att säkerställa att registreringsprocessen är kostnadseffektiv och proportionerlig mot risken bör registerförvaltarna inrätta lättanvända elektroniska, och om så är möjligt, automatiserade registreringsprocesser för förlitande parter. Registerförvaltarna bör verifiera ansökningar om registrering utan onödigt dröjsmål.

(8)

Medlemsstaterna ska säkerställa att plånböckerna kan autentisera förlitande parter oavsett var de är etablerade i unionen. För att göra detta bör de förlitande parterna använda förlitandepartcertifikat när de identifierar sig för plånboksenheter. För att garantera att de certifikaten är interoperabla för alla plånböcker som tillhandahålls inom unionen bör förlitandepartcertifikat följa gemensamma krav som fastställs i bilagan. Kommissionen bör utveckla harmoniserade certifieringspolicyer och riktlinjer om certifieringsrutiner som ska genomföras av medlemsstaterna. Kommissionen bör i samarbete med medlemsstaterna noga övervaka utvecklingen av nya eller alternativa standarder som skulle kunna ligga till grund för förlitandepartcertifikat. I synnerhet bör tillitsmodeller som har visat sig vara effektiva och säkra i medlemsstaterna bedömas.

(9)

I enlighet med förordning (EU) nr 910/2014 får förlitande parter inte begära att användarna tillhandahåller några andra uppgifter än de som anges för plånböckernas avsedda användning under registreringsprocessen. Plånboksanvändare bör ha möjlighet att kontrollera förlitande parters registreringsuppgifter. För att göra det möjligt för plånboksanvändarna att verifiera att de attribut som begärs av den förlitande parten omfattas av deras registrerade attribut får medlemsstaterna kräva att det utfärdas förlitandepartregistreringscertifikat till registrerade förlitande parter. För att säkerställa interoperabiliteten hos förlitandepartregistreringscertifikaten bör medlemsstaterna säkerställa att de certifikaten uppfyller de krav och standarder som fastställs i bilagan. I synnerhet bör de förlitande parterna av transparensskäl ange om de avser att förlita sig på elektronisk identifiering av fysiska personer för att uppfylla de krav som fastställs i artikel 6.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (4). Vidare får förlitande parter inte neka användning av pseudonymer om identifiering av användaren inte krävs enligt unionsrätten eller nationell rätt.

(10)

För att skydda användarna mot för stor delning av information med förlitande parter och varna dem för sådana fall bör medlemsstaterna inkludera allmänna tillgångspolicyer i sina certifieringspolicyer som gör det möjligt för en plånbokslösning att informera plånboksanvändaren när en förlitande part begär mer information än de har givits behörighet att få tillgång till.

(11)

För att skydda plånboksanvändarna bör registerförvaltaren ha möjlighet att tillfälligt upphäva eller annullera registrering av en förlitande part utan föregående meddelande, om registerförvaltaren har skäl att tro att registreringen innehåller information som är inkorrekt, inte är aktuell, eller är vilseledande, att den förlitande parten inte följer registreringspolicyn, eller att den förlitande parten på annat sätt är i strid med unionsrätten eller den europeiska förklaringen om digitala rättigheter och principer för det digitala decenniet (5) på ett sätt som har samband med deras roll som förlitande part, till exempel om den förlitande parten inte framgångsrikt minimerat den uppsättning attribut som den begär tillgång till. För att skydda stabiliteten hos ekosystemet för de europeiska digitala identitetsplånböckerna (plånboksekosystemet) bör beslutet att tillfälligt upphäva eller annullera en registrering vara proportionerligt mot den störning som förorsakas av det tillfälliga upphävandet eller annulleringen och den därmed sammanhängande kostnaden och olägenheten för tillhandahållaren av tjänsten och för användaren. I enlighet med artikel 46a.4 f i förordning (EU) nr 910/2014 ska tillsynsorganen också ha rättighet att tillfälligt upphäva eller annullera registreringen, om så krävs.

(12)	För efterhandskontroller, utredningar som genomförs av brottsbekämpande organ och tvistlösning bör registerförvaltarna föra register över all information som tillhandahålls av de förlitande parter som är införda i deras nationella register, under en period av tio år.

(13)	Förordning (EU) 2016/679 och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (6) är tillämpliga på behandlingen av personuppgifter enligt denna förordning.

(14)	Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (7) och avgav ett yttrande den 31 januari 2025.

(15)	De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Innehåll och tillämpningsområde

I denna förordning fastställs regler för registrering av förlitande parter.

Artikel 2

Definitioner

I denna förordning gäller följande definitioner:

1.	förlitande part: en förlitande part som avser att förlita sig på plånboksenheter för att genom digital interaktion tillhandahålla offentliga eller privata tjänster.

2.	plånboksenhet: en unik konfigurering av en plånbokslösning som omfattar plånboksinstanser, krypteringsapplikationer och krypteringshårdvaror som en plånbokstillhandahållare tillhandahåller en enskild plånboksanvändare.

3.	plånbokslösning: en kombination av programvara, hårdvara, tjänster, inställningar och konfigureringar, inklusive plånboksinstanser, en eller flera krypteringsapplikationer och en eller flera krypteringshårdvaror.

4.	plånboksinstans: den applikation som är installerad och konfigurerad på en plånboksanvändares hårdvara eller i en plånboksanvändares miljö, som ingår i en plånboksenhet och som plånboksanvändaren använder för att interagera med plånboksenheten.

5.	krypteringsapplikation: en applikation som hanterar kritiska tillgångar genom att vara kopplad till och använda de kryptografiska och icke-kryptografiska funktioner som tillhandahålls av krypteringshårdvaran.

6.	krypteringshårdvara: manipuleringssäker hårdvara som tillhandahåller en miljö som är kopplad till och används av krypteringsapplikationen för att skydda kritiska tillgångar och tillhandahålla kryptografiska funktioner för att säkert kunna utföra kritiska operationer.

kritiska tillgångar: tillgångar inom eller i samband med en plånboksenhet som är av sådan extraordinär betydelse att det, om deras konfidentialitet, integritet och tillgänglighet äventyrades, skulle få en mycket allvarlig, funktionsnedsättande inverkan på förmågan att förlita sig på plånboksenheten.

8.	plånbokstillhandahållare: en fysisk eller juridisk person som tillhandahåller plånbokslösningar.

9.	plånboksanvändare: en användare som kontrollerar plånboksenheten.

10.	nationellt register över förlitande parter: ett nationellt elektroniskt register som en medlemsstat använder för att göra information om förlitande parter som är registrerade i den medlemsstaten allmänt tillgänglig i enlighet med artikel 5b.5 i förordning (EU) nr 910/2014.

11.	tillhandahållare av förlitandepartcertifikat: en fysisk eller juridisk person som bemyndigats av en medlemsstat att utfärda förlitandepartcertifikat till förlitande parter som är registrerade i den medlemsstaten.

12.	förlitandepartcertifikat: ett certifikat för elektroniska stämplar eller underskrifter som autentiserar och validerar den förlitande parten och som utfärdats av en tillhandahållare av förlitandepartcertifikat.

13.	tillhandahållare av personidentifieringsuppgifter: en fysisk eller juridisk person som ansvarar för att utfärda och återkalla personidentifieringsuppgifter och säkerställa att en användares personidentifieringsuppgifter är kryptografiskt bundna till en plånboksenhet.

14.	registerförvaltare: det organ som ansvarar för att upprätta och underhålla förteckningen över registrerade förlitande parter som är etablerade på deras territorium och som har utsetts av en medlemsstat.

15.	Förlitandepartregistreringscertifikat: ett dataobjekt som beskriver den förlitande partens avsedda användning och anger de attribut som den förlitande parten har registrerat i avsikt att begära från användare.

16.	tillhandahållare av förlitandepartregistreringscertifikat: en fysisk eller juridisk person som bemyndigats av en medlemsstat att utfärda förlitandepartregistreringscertifikat till förlitande parter som är registrerade i den medlemsstaten.

Artikel 3

Nationella register

1. Medlemsstaterna ska upprätta och underhålla åtminstone ett nationellt register över förlitande parter innehållande information rörande de registrerade förlitande parter som är etablerade i den medlemsstaten.

2. Det registret ska innehålla åtminstone den information som anges i bilaga I.

3. Medlemsstaterna ska utse åtminstone en registerförvaltare som ska förvalta och driva åtminstone ett nationellt register över förlitande parter.

4. Medlemsstaterna ska göra den information som anges i bilaga I om registrerade förlitande parter allmänt tillgänglig online, både i människoläsbar form och i en form som lämpar sig för automatiserad behandling.

5. Den information som avses i punkt 2 ska vara tillgänglig via ett enhetligt gemensamt gränssnitt för applikationsprogrammering (API) och via en nationell webbplats. Den ska undertecknas eller stämplas elektroniskt av registerförvaltaren eller på dess vägnar, i enlighet med de gemensamma krav gällande ett enhetligt API som fastställs i avsnitt 1 i bilaga II.

6. Medlemsstaterna ska säkerställa att det API som avses i punkt 5 överensstämmer med de gemensamma krav som anges i avsnitt 2 i bilaga II.

7. Medlemsstaterna ska säkerställa att registren överensstämmer med de relevanta gemensamma registreringspolicyer som anges i artikel 4.

Artikel 4

Registreringspolicyer

1. Medlemsstaterna ska fastställa och offentliggöra en eller flera nationella registreringspolicyer som är tillämpliga på de nationella register som upprättats på deras territorium.

2. Medlemsstaterna får inkludera eller återanvända befintliga registreringspolicyer på sektorsnivå eller nationell nivå.

3. Den nationella registreringspolicyn ska omfatta åtminstone information om

a)	de identifierings- och autentiseringsförfaranden som tillämpas på förlitande parter under registreringsprocessen,

b)	de styrkande handlingar som krävs rörande identitet, företagsregistrering, gällande rättighet eller rättigheter och övrig relevant information om den förlitande parten,

c)	de autentiska källorna eller andra officiella elektroniska register, om de källorna och registren är tillförlitliga när det gäller att tillhandahålla korrekta uppgifter,

d)	all annan information eller bevisning som fordras i registreringsprocessen,

e)	i förekommande fall, de automatiserade sätt som gör det möjligt för förlitande parter att registrera och uppdatera en befintlig registrering,

f)	de rättsmedel som står till förfogande för de förlitande parterna enligt de lagar och förfaranden som gäller i den medlemsstat där det nationella registret är etablerat,

g)	de regler och förfaranden för verifiering av de registrerade förlitande parternas identitet och av annan relevant information som lämnas av parterna.

4. De förfaranden och den dokumentation som avses i punkt 3 a och punkt 3 b ska göra det möjligt för de förlitande parterna att ange i enlighet med vilken eller vilka specifika rättigheter de agerar, i enlighet med bilaga I.

5. I förekommande fall får de krav som fastställs i den nationella registreringspolicyn inte hindra en automatiserad registreringsprocess.

Artikel 5

Uppgifter som ska lämnas till de nationella registren

1. De förlitande parterna ska åtminstone lämna den information som anges i bilaga I till de nationella registren.

2. De förlitande parterna ska säkerställa att den information som lämnas är korrekt vid tidpunkten för registreringen.

3. De förlitande parterna ska uppdatera den information som tidigare registrerats i det nationella registret över förlitande parter utan onödigt dröjsmål.

Artikel 6

Registreringsprocesser

1. Registerförvaltarna ska fastställa lättanvända elektroniska, och om så är möjligt, automatiserade registreringsprocesser för förlitande parter.

2. Registerförvaltarna ska behandla ansökningar om registrering utan onödigt dröjsmål och lämna ett svar på ansökan om registrering till den sökande inom en tidsperiod som fastställs i den gällande registreringspolicyn, på lämpligt sätt och i överensstämmelse med de lagar och förfaranden som gäller i den medlemsstat där det nationella registret är etablerat.

3. Om så är möjligt, ska registerförvaltarna på ett automatiserat sätt verifiera

a)	korrektheten, giltigheten, autenticiteten och integriteten hos den information som krävs enligt artikel 5,

b)	i tillämpliga fall, den fullmakt för förlitande parters ombud som upprättats och utfärdats i enlighet med de lagar och förfaranden som gäller i den medlemsstat där det nationella registret är etablerat,

c)	typen av rättighet eller rättigheter för de förlitande parterna i enlighet med bilaga I,

d)	avsaknad av en befintlig registrering i ett annat nationellt register.

4. Registerförvaltarna ska verifiera den information som avses i punkt 3 mot de styrkande handlingar som tillhandahålls av de förlitande parterna eller mot lämpliga autentiska källor eller andra officiella elektroniska register i den medlemsstat där det nationella registret är etablerat och till vilket registerförvaltarna har tillgång i enlighet med gällande nationella lagar och förfaranden.

5. Verifieringen av de förlitande parternas rättigheter enligt punkt 3 c ska göras i enlighet med bilaga III.

6. Om registerförvaltaren inte kan verifiera informationen i enlighet med punkterna 3–5, ska registerförvaltaren avslå registreringen.

7. Om en förlitande part inte längre avser att förlita sig på plånboksenheter för att tillhandahålla offentliga eller privata tjänster enligt en specifik registrering, ska den förlitande parten underrätta den relevanta registerförvaltaren utan onödigt dröjsmål och begära en annullering av den registreringen.

Artikel 7

Förlitandepartcertifikat

1. Medlemsstaterna ska ge åtminstone en certifieringsmyndighet tillstånd att utfärda förlitandepartcertifikat.

2. Medlemsstaterna ska säkerställa att tillhandahållarna av förlitandepartcertifikat endast utfärdar förlitandepartcertifikat till registrerade förlitande parter.

3. Medlemsstaterna ska på ett syntaktiskt och semantiskt harmoniserat sätt genomföra certifieringspolicyerna och riktlinjerna om certifieringsrutiner för förlitandepartcertifikaten, i enlighet med kraven i bilaga IV.

Artikel 8

Förlitandepartregistreringscertifikat

1. Medlemsstaterna får ge åtminstone en certifieringsmyndighet tillstånd att utfärda förlitandepartregistreringscertifikat.

2. Om en medlemsstat ger tillstånd för utfärdande av ett förlitandepartregistreringscertifikat, ska den medlemsstaten

a)	kräva att tillhandahållarna av förlitandepartregistreringscertifikat endast utfärdar förlitandepartregistreringscertifikat till registrerade förlitande parter,

b)	säkerställa att varje avsedd användning anges i förlitandepartregistreringscertifikaten,

säkerställa att förlitandepartregistreringscertifikaten omfattar en allmän tillgångspolicy, som är syntaktiskt och semantiskt harmoniserad i hela unionen, som informerar användarna om att den förlitande parten endast har tillstånd att begära uppgifter som anges i registreringscertifikaten för den avsedda användning som registreras i registreringscertifikaten,

d)	säkerställa att de tillhandahållare av plånbokslösningar som är etablerade i den medlemsstaten följer den allmänna tillgångspolicyn genom att informera användarna när en förlitande part begär uppgifter som inte anges i registreringscertifikatet,

e)	genomföra förlitandepartregistreringscertifikaten på ett syntaktiskt och semantiskt harmoniserat sätt och i enlighet med kraven i bilaga V,

f)	genomföra särskilda certifieringspolicyer och riktlinjer om certifieringsrutiner för förlitandepartregistreringscertifikaten i enlighet med kraven i bilaga V,

g)	säkerställa att de förlitande parterna anger en URL till integritetsskyddspolicyn avseende den avsedda användningen.

3. Den policy som avses i led g ska anges i förlitandepartregistreringscertifikatet.

Artikel 9

Tillfälligt upphävande och annullering av registrering

1. Registerförvaltarna ska tillfälligt upphäva eller annullera en registrering av en förlitande part, om ett sådant tillfälligt upphävande eller en sådan annullering begärs av ett tillsynsorgan i enlighet med artikel 46a.4 f i förordning (EU) nr 910/2014.

2. Registerförvaltarna får tillfälligt upphäva eller annullera en registrering av en förlitande part, om registerförvaltarna har skäl att tro något av följande:

a)	Registreringen innehåller information som är inkorrekt, inte är aktuell, eller är vilseledande.

b)	Den förlitande parten följer inte registreringspolicyn.

c)	Den förlitande parten begär fler attribut än de har registrerat i enlighet med artiklarna 5 och 6.

d)	Den förlitande parten på annat sätt är i strid med unionsrätten eller nationell rätt på ett sätt som har samband med deras roll som förlitande part.

3. Registerförvaltarna ska tillfälligt upphäva eller annullera en registrering av en förlitande part, om begäran om tillfälligt upphävande eller annullering görs av samma förlitande part.

4. När registerförvaltaren överväger det tillfälliga upphävandet eller annulleringen i enlighet med punkt 2 ska registerförvaltaren göra en proportionalitetsbedömning, med beaktande av inverkan på de grundläggande rättigheterna, säkerheten och konfidentialiteten för användarna i ekosystemet, samt av hur allvarlig den störning som förutses till följd av det tillfälliga upphävandet eller annulleringen och de därmed sammanhängande kostnaderna kommer att bli, både för den förlitande parten och användaren. På grundval av resultatet av denna bedömning får registerförvaltaren tillfälligt upphäva eller annullera registreringen utan att i förväg meddela den berörda förlitande parten.

5. Om registreringen av den förlitande parten tillfälligt upphävs eller annulleras, ska registerförvaltaren informera tillhandahållaren av de relevanta förlitandepartcertifikaten, tillhandahållaren av de relevanta förlitandepartregistreringscertifikateten och berörda förlitande parten om denna åtgärd utan onödigt dröjsmål och senast 24 timmar efter det tillfälliga upphävandet eller annulleringen. Denna underrättelse ska omfatta information om orsakerna till det tillfälliga upphävandet eller annulleringen och om de rättsmedel som står till förfogande.

6. Tillhandahållaren av förlitandepartcertifikaten och tillhandahållaren av förlitandepartregistreringscertifikaten ska, i tillämpliga fall, utan onödigt dröjsmål återkalla förlitandepartcertifikaten respektive förlitandepartregistreringscertifikaten för den förlitande part vars registrering tillfälligt upphävts eller annullerats.

Artikel 10

Dokumentation

Registerförvaltarna ska föra register över den information som tillhandahålls av de förlitande parterna och som registreras i enlighet med bilaga I för registrering av en förlitande part och utfärdande av förlitandepartcertifikatet och förlitandepartregistreringscertifikatet, och över varje annan förändring av denna information, under en period av tio år.

Artikel 11

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den 24 december 2026.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 6 maj 2025.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Kommissionens rekommendation (EU) 2021/946 av den 3 juni 2021 om en unionsgemensam verktygslåda för en samordnad strategi för en europeisk ram för digital identitet (EUT L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).

(3) Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(5) EUT C 23, 23.1.2023, s. 1.

(6) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(7) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

BILAGA I

Information om förlitande parter

I tillämpliga fall, den förlitande partens namn i enlighet med vad som framgår i ett officiellt register, tillsammans med identifieringsuppgifter från det officiella registret.

a)	Om inget är tillämpligt ska punkt 2 tillämpas.

2.	I förekommande fall, ett användarvänligt namn på den förlitande parten som antingen kan vara ett handelsnamn eller ett namn på tjänsten, som ska kunna kännas igen av användaren.

I förekommande fall, en eller flera identifierare för den förlitande parten i enlighet med vad som uppges i ett officiellt register, tillsammans med identifieringsuppgifter från det officiella registret, uttryckta som

a)	ett registrerings- och identitetsnummer för ekonomiska aktörer (Eori-nummer) enligt kommissionens genomförandeförordning (EU) nr 1352/2013 (1),

b)	ett registreringsnummer såsom det registrerats i ett nationellt företagsregister,

c)	en identifieringskod för juridiska personer enligt kommissionens genomförandeförordning (EU) 2022/1860 (2),

d)	ett mervärdesskatteregistreringsnummer (momsregistreringsnummer),

e)	ett punktskattenummer enligt artikel 2.12 i rådets förordning (EU) nr 389/2012 (3),

f)	ett skatteregistreringsnummer,

g)	en identifieringskod för juridiska personer enligt kommissionens genomförandeförordning (EU) 2021/1042 (4),

h)	en annan eller andra nationella identifierare.

4.	Den fysiska adress där den förlitande parten är etablerad.

5.	I tillämpliga fall, en webbadress (URL) tillhörande den förlitande parten.

6.	Om identifieraren uttrycks i enlighet med leden a, d, f eller h i punkt 3, ska landsbeteckningen för den medlemsstat där den förlitande parten är etablerad vara ett prefix med två bokstäver enligt ISO 3166-1, med undantag för landsbeteckningen för Grekland, som ska vara ”EL”.

Kontaktuppgifter för den förlitande parten, åtminstone en av följande:

a)	En webbplats för kontakt med den förlitande parten i frågor som rör tillhandahållande av hjälpcentral och supporttjänster.

b)	Ett telefonnummer för kontakt med den förlitande parten i frågor som rör dess registrering och avsedd användning av plånboksenheterna.

c)	En e-postadress för kontakt med den förlitande parten i frågor som rör dess registrering och avsedd användning av plånboksenheten.

8.	En beskrivning av den typ av tjänster som den förlitande parten tillhandahåller.

För varje avsedd användning, en förteckning över de uppgifter, inbegripet intyg och attribut, som den förlitande parten avser att begära, ett användarvänligt namn och ett tekniskt namn, typen av intyg och andra syntaxer som uppgifterna grupperas under, i ett maskinläsbart format för automatiserad behandling.

10.	För varje avsedd användning, en beskrivning av den avsedda användningen av de uppgifter som den förlitande parten avser att begära från plånboksanvändarna.

11.	Uppgift om huruvida den förlitande parten är ett offentligt organ.

12.

Den förlitande partens rättighet(er), som ska anges enligt följande:

a)	”Service_Provider” för att ange den förlitande partens rättighet som tillhandahållare av tjänster.

b)	”QEAA_Provider” för att ange den förlitande partens rättighet som kvalificerad tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg.

c)	”Non_Q_EAA_Provider” för att ange den förlitande partens rättighet som tillhandahållare av betrodda tjänster som utfärdar icke-kvalificerade elektroniska attributsintyg.

d)	”PUB_EAA_Provider” för att ange den förlitande partens rättighet som tillhandahållare av elektroniska attributsintyg utfärdade av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa.

e)	”PID_Provider” för att ange den förlitande partens rättighet som tillhandahållare av personidentifieringsuppgifter.

f)	”QCert_for_ESeal_Provider” för att ange den förlitande partens rättighet som kvalificerad tillhandahållare av betrodda tjänster som utfärdar kvalificerade certifikat för elektroniska stämplar.

g)	”QCert_for_ESig_Provider” för att ange den förlitande partens rättighet som kvalificerad tillhandahållare av betrodda tjänster som utfärdar kvalificerade certifikat för elektroniska underskrifter.

h)	”rQSigCDs_Provider” för att ange den förlitande partens rättighet som kvalificerad tillhandahållare av betrodda tjänster som tillhandahåller betrodda tjänster för förvaltningen av en kvalificerad anordning för skapande av elektroniska underskrifter på distans.

i)	”rQSealCDs_Provider” för att ange den förlitande partens rättighet som kvalificerad tillhandahållare av betrodda tjänster som tillhandahåller betrodda tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska stämplar på distans.

j)	”ESig_ESeal_Creation_Provider” för att ange den förlitande partens rättighet som icke-kvalificerad tillhandahållare av betrodda tjänster som tillhandahåller en icke-kvalificerade betrodd tjänst för skapande av elektroniska underskrifter eller elektroniska stämplar på distans.

13.	Med avseende på punkt 12 c får medlemsstaterna tillhandahålla ytterligare delrättigheter för att ange vilka intyg en viss icke-kvalificerad utfärdare av elektroniska attributsintyg ska utfärda.

14.	I tillämpliga fall, en uppgift om att den förlitande parten förlitar sig på en mellanhand som agerar på uppdrag av den förlitande part som avser att förlita sig på plånboken.

15.	I tillämpliga fall, en associering till den mellanhand som den förlitande parten förlitar sig på som agerar på uppdrag av den förlitande part som avser att förlita sig på plånboken.

(1) Kommissionens genomförandeförordning (EU) nr 1352/2013 av den 4 december 2013 om fastställande av de formulär som avses i Europaparlamentets och rådets förordning (EU) nr 608/2013 om tullens säkerställande av skyddet för immateriella rättigheter (EUT L 341, 18.12.2013, s. 10, ELI: http://data.europa.eu/eli/reg_impl/2013/1352/oj).

(2) Kommissionens genomförandeförordning (EU) 2022/1860 av den 10 juni 2022 om fastställande av tekniska genomförandestandarder för tillämpningen av Europaparlamentets och rådets förordning (EU) nr 648/2012 vad gäller standarder, format, frekvens samt metoder och arrangemang för rapportering (EUT L 262, 7.10.2022, s. 68, ELI: http://data.europa.eu/eli/reg_impl/2022/1860/oj).

(3) Rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004 (EUT L 121, 8.5.2012, s. 1, ELI: ELI: http://data.europa.eu/eli/reg/2012/389/oj).

(4) Kommissionens genomförandeförordning (EU) 2021/1042 av den 18 juni 2021 om tillämpningsföreskrifter för Europaparlamentets och rådets direktiv (EU) 2017/1132 vad gäller tekniska specifikationer och förfaranden för systemet för sammankoppling av register och om upphävande av kommissionens genomförandeförordning (EU) 2020/2244 (EUT L 225, 25.6.2021, s. 7 ELI: http://data.europa.eu/eli/reg_impl/2021/1042/oj).

BILAGA II

1. KRAV GÄLLANDE DE ELEKTRONISKA UNDERSKRIFTER ELLER STÄMPLAR MED VILKA DEN INFORMATION OM REGISTRERADE FÖRLITANDE PARTER SOM GÖRS TILLGÄNGLIG SKA UNDERTECKNAS ELLER STÄMPLAS I ENLIGHET MED ARTIKEL 3

—	JavaScript Object Notation (JSON).

—	IETF 7515 för JSON Web Signatures.

2. KRAV GÄLLANDE DET ENHETLIGA GEMENSAMMA API SOM AVSES I ARTIKEL 3

Det enhetliga gemensamma API ska

a)	vara en REST API, som stöder JSON som format och som undertecknas i enlighet med de relevanta krav som anges i del 1,

göra det möjligt för den som gör begäran att, utan föregående autentisering, göra sökningar efter och begäranden om fullständiga förteckningar i registret över information om registrerade förlitande parter, med möjlighet till partiell match på grundval av definierade parametrar inbegripet, i förekommande fall, officiellt registreringsnummer eller organisationsnummer, den förlitande partens namn eller den information som avses i artikel 8.2 g och i punkterna 12, 13, 14 och 15 i bilaga I,

säkerställa att svaren på de begäranden som avses i led b som matchar åtminstone en förlitande part omfattar en eller flera förklaringar rörande information om registrerade förlitande parter och information enligt bilaga I, nuvarande och historiska förlitandepartcertifikat och förlitandepartregistreringscertifikat, men inte omfattar kontaktuppgifterna i punkt 4 bilaga I,

d)	offentliggörs som en OpenAPI version 3, tillsammans med lämplig dokumentation och lämpliga tekniska specifikationer som säkerställer interoperabilitet i hela unionen,

e)	tillhandahålla säkerhetsfunktioner, inbegripet säkerhet som standard och inbyggd säkerhet, för att säkerställa API:s tillgänglighet och integritet och tillgängligheten hos informationen via det.

2.	De angivanden som avses i punkt c ska uttryckas i form av elektroniskt underskrivna eller stämplade JSON-filer, med ett format och en struktur som överensstämmer med de krav på elektroniska underskrifter eller stämplar som fastställs i avsnitt 1.

BILAGA III

Källan till de styrkande handlingarna för verifieringen av de förlitande parternas rättigheter enligt artikel 6

Verifieringen av att en förlitande part är en tillhandahållare av kvalificerade elektroniska attributsintyg, en tillhandahållare av kvalificerade certifikat för elektroniska underskrifter eller stämplar, eller en tillhandahållare av kvalificerad betrodd tjänst för förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter eller stämplar på distans, ska grundas på de nationella förteckningar över betrodda tjänsteleverantörer som offentliggörs i enlighet med artikel 22 i förordning (EU) nr 910/2014.

Verifieringen av att en förlitande part är en tillhandahållare av icke-kvalificerade elektroniska attributsintyg eller en tillhandahållare av skapande av elektroniska underskrifter eller stämplar på distans som en icke-kvalificerad betrodd tjänst ska, i förekommande fall, grundas på de nationella förteckningar över betrodda tjänsteleverantörer som offentliggörs i enlighet med artikel 22 i förordning (EU) nr 910/2014, eller, för icke-kvalificerade tillhandahållare av betrodda tjänster som inte är registrerade i de nationella förteckningarna över betrodda tjänsteleverantörer, på de verifieringsförfaranden som medlemsstaterna har fastställt i sina registreringspolicyer i enlighet med artikel 4.

3.	Verifieringen av att en förlitande part är en tillhandahållare av personidentifieringsuppgifter ska grundas på den förteckning över tillhandahållare av personidentifieringsuppgifter som offentliggörs av kommissionen i enlighet med artikel 5a.18 i förordning (EU) nr 910/2014.

Verifieringen av att en förlitande part är en tillhandahållare av elektroniska attributsintyg utfärdade av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa ska grundas på den förteckning som offentliggörs av kommissionen i enlighet med artikel 45f.3 i förordning (EU) nr 910/2014.

BILAGA IV

Krav gällande förlitandepartcertifikat enligt artikel 7

Den förlitandepartcertifikatspolicy som är tillämplig på tillhandahållandet av förlitandepartcertifikat ska rymma en beskrivning av de säkerhetskrav som är tillämpliga på, och de bestämmelser som anger tillämpligheten av, ett förlitandepartcertifikat så att de certifikaten kan utfärdas till och användas av de förlitande parterna i deras interaktioner med plånbokslösningar.

De riktlinjer om certifieringsrutiner för förlitandepartcertifikat som är tillämpliga på tillhandahållandet av förlitandepartcertifikat ska beskriva de rutiner som en tillhandahållare av förlitandepartcertifikat tillämpar när den utfärdar, förvaltar, återkallar och byter nycklar på förlitandepartcertifikat.

Den certifieringspolicy och de riktlinjer om certifieringsrutiner som gäller för tillhandahållandet av förlitandepartcertifikat ska vara syntaktiskt och semantiskt harmoniserade i hela unionen och, i tillämpliga fall, överensstämma med åtminstone kraven avseende den normaliserade certifikatpolicyn (NCP) som anges i standard Etsi EN 319411-1 version 1.4.1 (2023-10), och ska omfatta följande:

En tydlig beskrivning av hierarkin i public key-infrastrukturen och av certifikatkedjan från förlitandepartcertifikaten på användarnivå (”end-entity”) till toppen av den hierarki som används för att utfärda dem, varvid det eller de förväntade tillitsankarna i en sådan hierarki och de förväntade tillitskedjorna, som ska grunda sig på det tillitsramverk som upprättats i enlighet med artikel 5a.18 i förordning (EU) nr 910/2014, ska anges.

b)	En utförlig beskrivning av förfarandena för utfärdande av förlitandepartcertifikat, inbegripet för verifieringen av identiteten och alla andra eventuella attribut till den förlitande part till vilken förlitandepartcertifikatet ska utfärdas.

Skyldigheten för tillhandahållarna av förlitandepartcertifikat att, då de utfärdar ett förlitandepartcertifikat, verifiera att

—	den förlitande parten förs in, med en giltig registreringsstatus, i ett nationellt register över förlitande parter i den medlemsstat där den förlitande parten är etablerad,

—	all information i förlitandepartcertifikatet är korrekt och överensstämmer med den registreringsinformation som finns tillgänglig från det registret.

d)	En utförlig beskrivning av förfarandena för återkallande av förlitandepartcertifikat.

Skyldigheten för tillhandahållarna av förlitandepartcertifikat att genomföra åtgärder och processer avseende att

—	kontinuerligt övervaka varje förändring i det nationella register över förlitande parter i vilket de förlitande parterna till vilka de utfärdat förlitandepartcertifikat är registrerade,

—

återkalla, när ändringar så kräver, alla förlitandepartcertifikat som tillhandahållaren utfärdat till motsvarande förlitande part, särskilt när innehållet i certifikatet inte längre är korrekt och inte längre överensstämmer med den registrerade informationen, eller när registreringen av den förlitande parten tillfälligt upphävs eller annulleras.

f)	En utförlig beskrivning av förfarandena och mekanismerna för den harmoniserade valideringen av förlitandepartcertifikat i hela unionen.

g)	Skyldigheten för tillhandahållaren av förlitandepartcertifikat att tillåta att relevanta berörda parter, inbegripet förlitande parter avseende deras egna certifikat, behöriga tillsynsorgan och dataskyddsmyndigheter begär återkallande av förlitandepartcertifikat.

h)	Skyldigheten för tillhandahållare av förlitandepartcertifikat att registrera alla sådana återkallanden i sin certifikatdatabas och offentliggöra certifikatets status som återkallat i god tid och i alla händelser inom 24 timmar efter mottagandet av begäran om återkallande.

i)	Skyldigheten för tillhandahållare av förlitandepartcertifikat att tillhandahålla information om giltigheten eller statusen som återkallats för de förlitandepartcertifikat som utfärdats av den tillhandahållaren.

j)	En beskrivning, i tillämpliga fall, av hur en tillhandahållare av förlitandepartcertifikat för loggar över alla förlitandepartcertifikat som de har utfärdat, i överensstämmelse med Internet Engineering Task Force (IETF) request for comments (RFC) 9162 om certifikattransparens (version 2.0).

Skyldigheten för förlitandepartcertifikat att omfatta

—

platsen där det certifikat som stöder den avancerade elektroniska underskriften eller den avancerade elektroniska stämpeln på det certifikatet finns tillgänglig, så att hela certifikatkedjan kan byggas upp till nivån av det förväntade tillitsankaret i den hierarki i public key-infrastrukturen som används av tillhandahållaren,

—	en maskinbehandlingsbar hänvisning till den tillämpliga certifikatpolicyn och de tillämpliga riktlinjerna om certifieringsrutiner,

—	den information som avses i punkterna 1, 2, 3, 5, 6 och 7 leden a, b och c i bilaga I.

4.	Det återkallande som anges i punkt 3 g ska få verkan omedelbart efter offentliggörandet.

5.	Den information som anges i punkt 3 h ska, åtminstone på certifikatnivå, när som helst och åtminstone utöver certifikatets giltighetsperiod göras tillgänglig på ett automatiskt sätt som är tillförlitligt, kostnadsfritt och effektivt i enlighet med certifikatpolicyn.

BILAGA V

Krav gällande förlitandepartregistreringscertifikat enligt artikel 8

Den certifieringspolicy för förlitandepartregistreringscertifikat som är tillämplig på tillhandahållandet av förlitandepartregistreringscertifikat ska rymma en beskrivning av de säkerhetskrav som är tillämpliga på, och de bestämmelser som anger tillämpligheten av, ett förlitandepartregistreringscertifikat så att de certifikaten kan utfärdas till och användas av de förlitande parterna i deras interaktioner med plånbokslösningar. Certifieringspolicyn för förlitandepartregistreringscertifikat ska offentliggöras i människoläsbart format.

De riktlinjer om certifieringsrutiner för förlitandepartregistreringscertifikat som är tillämpliga på tillhandahållandet av förlitandepartregistreringscertifikat ska beskriva de rutiner som en tillhandahållare av förlitandepartregistreringscertifikat tillämpar när den utfärdar, förvaltar, återkallar och byter nycklar på förlitandepartregistreringscertifikat och, i tillämpliga fall, hur de är förknippade med förlitandepartcertifikat som utfärdas till förlitande parter. Riktlinjerna om certifieringsrutiner för förlitandepartregistreringscertifikat ska offentliggöras i människoläsbart format.

Den certifieringspolicy och de riktlinjer om certifieringsrutiner som gäller för tillhandahållandet av förlitandepartregistreringscertifikat ska vara syntaktiskt och semantiskt harmoniserade i hela unionen och överensstämma med åtminstone de tillämpliga NCP-kraven som anges i standard Etsi EN 319411-1 version 1.4.1 (2023-10), och ska omfatta följande:

En tydlig beskrivning av hierarkin i public key-infrastrukturen och av certifikatkedjan från förlitandepartregistreringscertifikaten på användarnivå (”end-entity”) till toppen av den hierarki som används för att utfärda dem, samtidigt som det eller de förväntade tillitsankarna i en sådan hierarki och de förväntade tillitskedjorna ska anges.

b)	En utförlig beskrivning av förfarandena för utfärdande av förlitandepartregistreringscertifikat, inbegripet för verifieringen av den förlitande parts identitet, samt dennes eventuella attribut, till vilken förlitandepartcertifikatet ska utfärdas.

Skyldigheten för tillhandahållaren av förlitandepartregistreringscertifikat att, då den utfärdar ett förlitandepartregistreringscertifikat, verifiera att

—	den förlitande parten förs in, med en giltig registreringsstatus, i ett nationellt register över förlitande parter i den medlemsstat där den förlitande parten är etablerad,

—	informationen i förlitandepartregistreringscertifikatet är korrekt och överensstämmer med den registreringsinformation som finns tillgänglig från det registret,

—	förlitandepartcertifikatet är giltigt,

—	en utförlig beskrivning av förfarandena för återkallande av förlitandepartregistreringscertifikat.

Skyldigheten för tillhandahållaren av förlitandepartregistreringscertifikat att genomföra åtgärder och processer avseende att

—	kontinuerligt övervaka på ett automatiserat sätt varje förändring i det nationella register över förlitande parter i vilket de förlitande parterna till vilka de utfärdat förlitandepartregistreringscertifikat är registrerade,

—	utfärda förlitandepartregistreringscertifikatet på nytt,

—

återkalla alla förlitandepartregistreringscertifikat som de utfärdat till motsvarande förlitande part, när sådana ändringar så kräver, särskilt när innehållet i certifikatet inte längre är korrekt och inte längre överensstämmer med den registrerade informationen, eller när registreringen av den förlitande parten modifieras, tillfälligt upphävs eller annulleras.

e)	En utförlig beskrivning av förfarandena och mekanismerna för den harmoniserade valideringen av förlitandepartregistreringscertifikat.

f)	Skyldigheten för tillhandahållaren av förlitandepartregistreringscertifikat att tillåta att relevanta berörda parter, inbegripet förlitande parter avseende deras egna certifikat, behöriga tillsynsorgan och dataskyddsmyndigheter begär återkallande av förlitandepartregistreringscertifikat.

g)	Skyldigheten för tillhandahållaren av förlitandepartregistreringscertifikat att registrera alla sådana återkallanden i sin certifikatdatabas och offentliggöra certifikatets status som återkallat i god tid och i alla händelser inom 24 timmar efter mottagandet av begäran om återkallande.

h)	Skyldigheten för tillhandahållare av förlitandepartregistreringscertifikat att tillhandahålla information om giltigheten eller statusen som återkallats för de förlitandepartregistreringscertifikat som utfärdats av den tillhandahållaren.

i)	En beskrivning, i tillämpliga fall, av hur en tillhandahållare av förlitandepartregistreringscertifikat för loggar över alla förlitandepartregistreringscertifikat som de har utfärdat,

Skyldigheten för förlitandepartregistreringscertifikat

—

att omfatta platsen där valideringsuppgifterna för den avancerade elektroniska underskriften eller den avancerade elektroniska stämpeln för det certifikat som används för att underteckna eller stämpla registreringscertifikatet finns tillgänglig, så att hela tillitskedjan kan byggas upp till nivån av det förväntade tillitsankaret,

—	att omfatta en maskinläsbar hänvisning till den tillämpliga certifikatpolicyn och de tillämpliga riktlinjerna om certifieringsrutiner,

—	att omfatta den information som avses i punkterna 1, 2, 3, 5, 6 och 8, 9, 10, 11, 12, 13, 14 och 15 i bilaga I,

—	att omfatta URL:en till den integritetspolicy som avses i artikel 8.2 g,

—	att omfatta en allmän tillgångspolicy i enlighet med artikel 8.3,

4.	Formatet för uppgiftsutbyte för förlitandepartregistreringscertifikatet ska vara undertecknade JSON Web Tokens (IETF RFC 7519) och CBOR Web Tokens (IETF RFC 8392).

5.	Det återkallande som avses i punkt 3 g ska få verkan omedelbart efter offentliggörandet.

6.	Den information som avses i punkt 3 h ska, åtminstone på certifikatnivå, när som helst och åtminstone utöver certifikatets giltighetsperiod göras tillgängligt på ett automatiskt sätt som är tillförlitligt, kostnadsfritt och effektivt i enlighet med certifikatpolicyn.

ELI: http://data.europa.eu/eli/reg_impl/2025/848/oj

ISSN 1977-0820 (electronic edition)