This document is an excerpt from the EUR-Lex website
Document 02014R0910-20241018
Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC
Consolidated text: Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF
Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF
02014R0910 — DA — 18.10.2024 — 002.003
Denne tekst tjener udelukkende som dokumentationsværktøj og har ingen retsvirkning. EU's institutioner påtager sig intet ansvar for dens indhold. De autentiske udgaver af de relevante retsakter, inklusive deres betragtninger, er offentliggjort i den Europæiske Unions Tidende og kan findes i EUR-Lex. Disse officielle tekster er tilgængelige direkte via linkene i dette dokument
|
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) Nr. 910/2014 af 23. juli 2014 (EUT L 257 af 28.8.2014, s. 73) |
Ændret ved:
|
|
|
Tidende |
||
|
nr. |
side |
dato |
||
|
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2022/2555 af 14. december 2022 |
L 333 |
80 |
27.12.2022 |
|
|
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2024/1183 af 11. april 2024 |
L 1183 |
1 |
30.4.2024 |
|
Berigtiget ved:
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) Nr. 910/2014
af 23. juli 2014
om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF
KAPITEL I
ALMINDELIGE BESTEMMELSER
Artikel 1
Genstand
Denne forordning har til formål at sikre et velfungerende indre marked og et tilstrækkeligt sikkerhedsniveau for elektroniske identifikationsmidler og tillidstjenester, som anvendes i hele Unionen, for at muliggøre og lette fysiske og juridiske personers udøvelse af retten til at deltage sikkert i det digitale samfund og få adgang til offentlige og private onlinetjenester i hele Unionen. Med henblik herpå omfatter denne forordning:
fastsættelse af betingelser i henhold til hvilke medlemsstaterne skal anerkende fysiske og juridiske personers elektroniske identifikationsmidler, der er omfattet af en anmeldt elektronisk identifikationsordning i en anden medlemsstat, og levere og anerkende europæiske digitale identitetstegnebøger
fastsættelse af regler for tillidstjenester, navnlig for elektroniske transaktioner
fastlæggelse af et retsgrundlag for elektroniske signaturer, elektroniske segl, elektroniske tidsstempler, elektroniske dokumenter, elektroniske registrerede leveringstjenester, certificeringstjenester for webstedsautentifikation, elektronisk arkivering, elektronisk attestering af attributter, elektroniske signaturgenereringssystemer og elektroniske sejlgenereringssystemer samt elektroniske hovedbøger.
Artikel 2
Anvendelsesområde
Artikel 3
Definitioner
I denne forordning forstås ved:
|
1) |
»elektronisk identifikation« : det at bruge personidentifikationsdata i elektronisk form, der entydigt repræsenterer enten en fysisk eller en juridisk person eller en fysisk person, der repræsenterer en anden fysisk person eller en juridisk person |
|
2) |
»elektronisk identifikationsmiddel« : en materiel og/eller immateriel enhed, der indeholder personidentifikationsdata, og som bruges til autentifikation i forbindelse med en onlinetjeneste eller, hvis det er relevant, en offlinetjeneste |
|
3) |
»personidentifikationsdata« : et sæt data, der gør det muligt at fastslå identiteten på en fysisk eller juridisk person eller en fysisk person, der repræsenterer en juridisk person |
|
4) |
»elektronisk identifikationsordning« : et system til elektronisk identifikation, som led i hvilket der udstedes elektroniske identifikationsmidler til fysiske eller juridiske personer eller til fysiske personer, der repræsenterer andre fysiske personer eller juridiske personer |
|
5) |
»autentifikation« : en elektronisk proces, der muliggør bekræftelse af den elektroniske identifikation af en fysisk eller juridisk person eller bekræftelse af oprindelsen og integriteten af data i elektronisk form |
|
5a) |
»bruger« : en fysisk eller juridisk person eller en fysisk person, der repræsenterer en anden fysisk person eller en juridisk person, som anvender tillidstjenester eller elektroniske identifikationsmidler, der leveres i overensstemmelse med denne forordning |
|
6) |
»modtagerpart« : en fysisk eller juridisk person, der er afhængig af elektronisk identifikation, europæiske digitale identitetstegnebøger eller andre elektroniske identifikationsmidler eller af en tillidstjeneste |
|
7) |
»offentlig myndighed« : en statslig, regional eller lokal myndighed, et offentligretligt organ eller en sammenslutning af en eller flere af disse myndigheder eller et eller flere af disse offentligretlige organer eller en privat enhed med mandat fra mindst en af disse myndigheder, organer eller sammenslutninger til at udbyde offentlige tjenester, når den optræder i henhold til et sådant mandat |
|
8) |
»offentligretligt organ« : et organ som defineret i artikel 2, stk. 1, nr. 4), i Europa-Parlamentets og Rådets direktiv 2014/24/EU ( 2 ) |
|
9) |
»underskriver« : en fysisk person, der genererer en elektronisk signatur |
|
10) |
»elektronisk signatur« : data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre data i elektronisk form, og som anvendes af underskriveren til at skrive under med |
|
11) |
»avanceret elektronisk signatur« : en elektronisk signatur, der opfylder kravene i artikel 26 |
|
12) |
»kvalificeret elektronisk signatur« : en avanceret elektronisk signatur, der er genereret af et kvalificeret elektronisk signaturgenereringssystem og baseret på et kvalificeret certifikat for elektroniske signaturer |
|
13) |
»elektroniske signaturgenereringsdata« : entydige data, som anvendes af underskriveren til at generere en elektronisk signatur |
|
14) |
»certifikat for elektronisk signatur« : en elektronisk attestering, som knytter elektroniske signaturvalideringsdata til en fysisk person og mindst bekræfter denne persons navn eller pseudonym |
|
15) |
»kvalificeret certifikat for elektronisk signatur« : et certifikat for elektroniske signaturer, som er udstedt af en kvalificeret tillidstjenesteudbyder og opfylder kravene i bilag I |
|
16) |
»tillidstjeneste« : en elektronisk tjeneste, der normalt udføres mod betaling, og som består af et eller flere af følgende:
a)
udstedelse af certifikater for elektroniske signaturer, certifikater for elektroniske segl, certifikater for webstedsautentifikation eller certifikater for levering af andre tillidstjenester
b)
validering af certifikater for elektroniske signaturer, certifikater for elektroniske segl, certifikater for webstedsautentifikation eller certifikater for levering af andre tillidstjenester
c)
generering af elektroniske signaturer eller elektroniske segl
d)
validering af elektroniske signaturer eller elektroniske segl
e)
bevaring af elektroniske signaturer, elektroniske segl, certifikater for elektroniske signaturer eller certifikater for elektroniske segl
f)
forvaltning af elektroniske signaturgenereringssystemer på afstand eller elektroniske seglgenereringssystemer på afstand
g)
udstedelse af elektroniske attesteringer af attributter
h)
validering af elektronisk attestering af attributter
i)
generering af elektroniske tidsstempler
j)
validering af elektroniske tidsstempler
k)
udførelse af elektroniske registrerede leveringstjenester
l)
validering af data fremsendt via elektroniske registrerede leveringstjenester og tilhørende dokumentation
m)
elektronisk arkivering af elektroniske data og elektroniske dokumenter
n)
registrering af elektroniske data i en elektronisk hovedbog |
|
17) |
»kvalificeret tillidstjeneste« : en tillidstjeneste, der opfylder de krav, der er fastsat i denne forordning |
|
18) |
»overensstemmelsesvurderingsorgan« : et overensstemmelsesvurderingsorgan som defineret i artikel 2, nr. 13), i forordning (EF) nr. 765/2008, der er akkrediteret i overensstemmelse med nævnte forordning med kompetence til at udføre overensstemmelsesvurderinger af en kvalificeret tillidstjenesteudbyder og de kvalificerede tillidstjenester, den udbyder, eller med kompetence til at udføre certificering af europæiske digitale identitetstegnebøger eller elektroniske identifikationsmidler |
|
19) |
»tillidstjenesteudbyder« : en fysisk eller juridisk person, der udbyder en eller flere tillidstjenester, som enten en kvalificeret eller ikkekvalificeret tillidstjenesteudbyder |
|
20) |
»kvalificeret tillidstjenesteudbyder« : en tillidstjenesteudbyder, der udbyder en eller flere kvalificerede tillidstjenester og har fået tildelt status som kvalificeret tillidstjenesteudbyder af tilsynsorganet |
|
21) |
»produkt« : hardware eller software eller relevante hardware- eller softwarekomponenter, som er beregnet til at blive brugt til levering af elektroniske identifikationstjenester og tillidstjenester |
|
22) |
»elektronisk signaturgenereringssystem« : konfigureret software eller hardware, der bruges til at generere en elektronisk signatur |
|
23) |
»kvalificeret elektronisk signaturgenereringssystem« : et elektronisk signaturgenereringssystem, der opfylder kravene i bilag II |
|
23a) |
»kvalificeret elektronisk signaturgenereringssystem på afstand« : et kvalificeret elektronisk signaturgenereringssystem, der i overensstemmelse med artikel 29a forvaltes af en kvalificeret tillidstjenesteudbyder på vegne af en underskriver |
|
23b) |
»kvalificeret elektronisk seglgenereringssystem på afstand« : et kvalificeret elektronisk seglgenereringssystem, der i overensstemmelse med artikel 39a forvaltes af en kvalificeret tillidstjenesteudbyder på vegne af en forseglende part |
|
24) |
»forseglende part« : en juridisk person, der genererer et elektronisk segl |
|
25) |
»elektronisk segl« : data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre data i elektronisk form, og som giver sikkerhed for disse tilknyttede datas oprindelse og integritet |
|
26) |
»avanceret elektronisk segl« : et elektronisk segl, der opfylder kravene fastsat i artikel 36 |
|
27) |
»kvalificeret elektronisk segl« : et avanceret elektronisk segl, der er genereret af et kvalificeret elektronisk seglgenereringssystem, og som er baseret på et kvalificeret certifikat for elektroniske segl |
|
28) |
»elektroniske seglgenereringsdata« : entydige data, som anvendes af den forseglende part til at generere et elektronisk segl |
|
29) |
»certifikat for elektronisk segl« : en elektronisk attestering, som knytter elektroniske seglvalideringsdata til en fysisk person og bekræfter denne persons navn |
|
30) |
»kvalificeret certifikat for elektronisk segl« : et certifikat for et elektronisk segl, som er udstedt af en kvalificeret tillidstjenesteudbyder og opfylder kravene i bilag III |
|
31) |
»elektronisk seglgenereringssystem« : konfigureret software eller hardware, der bruges til at generere et elektronisk segl |
|
32) |
»kvalificeret elektronisk seglgenereringssystem« : et elektronisk seglgenereringssystem, der med de fornødne ændringer opfylder kravene i bilag II |
|
33) |
»elektronisk tidsstempel« : data i elektronisk form, der forbinder andre data i elektronisk form med et bestemt tidspunkt og udgør bevis for, at disse andre data eksisterede på det pågældende tidspunkt |
|
34) |
»kvalificeret elektronisk tidsstempel« : et elektronisk tidsstempel, der opfylder kravene i artikel 42 |
|
35) |
»elektronisk dokument« : al form for indhold, der er lagret i elektronisk form, især som tekst eller lyd eller i visuel eller audiovisuel form |
|
36) |
»elektronisk registreret leveringstjeneste« : en tjeneste, der gør det muligt at sende data mellem tredjeparter ad elektronisk vej og dokumenterer behandlingen af de sendte data, herunder leverer bevis for afsendelse og modtagelse af dataene, og som beskytter de sendte data mod tab, tyveri, beskadigelse og uautoriseret ændring |
|
37) |
»kvalificeret elektronisk registreret leveringstjeneste« : en elektronisk registreret leveringstjeneste, der opfylder kravene i artikel 44 |
|
38) |
»certifikat for webstedsautentifikation« : en elektronisk attestering, der gør det muligt at autentificere et websted og knytter webstedet til den fysiske eller juridiske person, som certifikatet er udstedt til |
|
39) |
»kvalificeret certifikat for webstedsautentifikation« : et certifikat for webstedsautentifikation, der er udstedt af en kvalificeret tillidstjenesteudbyder og opfylder kravene i bilag IV |
|
40) |
»valideringsdata« : data, der bruges til at validere en elektronisk signatur eller et elektronisk segl |
|
41) |
»validering« : en fremgangsmåde til at kontrollere og bekræfte gyldigheden af data i elektronisk form i overensstemmelse med kravene i denne forordning. |
|
42) |
»europæisk digital identitetstegnebog« : et elektronisk identifikationsmiddel, der gør det muligt for brugeren på sikker vis at lagre, forvalte og validere personidentifikationsdata og elektroniske attesteringer af attributter med henblik på at levere dem til modtagerparter og andre brugere af europæiske digitale identitetstegnebøger og at underskrive ved hjælp af kvalificerede elektroniske signaturer eller forsegle ved hjælp af kvalificerede elektroniske segl |
|
43) |
»attribut« : en fysisk eller juridisk persons eller en genstands egenskab, kvalitet, rettigheder eller tilladelser |
|
44) |
»elektronisk attestering af attributter« : en attestering i elektronisk form, der muliggør autentifikation af attributter |
|
45) |
»kvalificeret elektronisk attestering af attributter« : en elektronisk attestering af attributter, der er udstedt af en kvalificeret tillidstjenesteudbyder, og som opfylder de krav, der er fastsat i bilag V |
|
46) |
»elektronisk attestering af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde« : en elektronisk attestering af attributter, der er udstedt af en offentlig myndighed med ansvar for en autentisk kilde eller af en offentlig myndighed udpeget af medlemsstaten til at udstede sådanne attesteringer af attributter på vegne af de offentlige myndigheder med ansvar for autentiske kilder i overensstemmelse med artikel 45f og bilag VII |
|
47) |
»autentisk kilde« : et register eller et system, som en offentlig myndighed eller en privat enhed har ansvaret for, og som indeholder og leverer attributter om en fysisk eller juridisk person eller genstand, og som anses for at være en primær kilde til disse oplysninger eller er anerkendt som autentisk i overensstemmelse med EU-retten eller national ret, herunder administrativ praksis |
|
48) |
»elektronisk arkivering« : en tjeneste, der sikrer modtagelse, lagring, hentning og sletning af elektroniske data og elektroniske dokumenter med henblik på at sikre deres holdbarhed og læsbarhed samt at bevare deres integritet, fortrolighed og oprindelsesbevis i hele opbevaringsperioden |
|
49) |
»kvalificeret elektronisk arkiveringstjeneste« : en elektronisk arkiveringstjeneste, der ydes af en kvalificeret tillidstjenesteudbyder og som opfylder de krav, der er fastsat i artikel 45j |
|
50) |
»EU-tillidsmærke for europæiske digitale identitetstegnebøger« : en kontrollerbar, simpel og genkendelig angivelse, der er meddelt på en tydelig måde, af, at en europæisk digital identitetstegnebog er udstedt i overensstemmelse med denne forordning |
|
51) |
»stærk brugerautentifikation« : en autentifikation baseret på anvendelse af mindst to autentifikationsfaktorer fra forskellige kategorier af enten viden, noget kun brugeren ved, besiddelse, noget kun brugeren besidder, eller iboende egenskab, noget brugeren er, og som er uafhængige, i den betydning at et brud på et af dem ikke svækker de andres pålidelighed, og som desuden er udformet på en måde, der beskytter fortroligheden af autentifikationsdataene |
|
52) |
»elektronisk hovedbog« : en sekvens af elektroniske dataposter, der sikrer integriteten af disse registreringer og nøjagtigheden af disse registres kronologiske rækkefølge |
|
53) |
»kvalificeret elektronisk hovedbog« : en elektronisk hovedbog, der ydes af en kvalificeret tillidstjenesteudbyder og som opfylder de krav, der er fastsat i artikel 45l |
|
54) |
»personoplysninger« : personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679 |
|
55) |
»identitetssammenkobling« : en proces, hvorved personidentifikationsdata eller personidentifikationsmidler sammenholdes med eller knyttes til en eksisterende konto, der tilhører den samme person |
|
56) |
»datapost« : elektroniske data, der er registreret med tilhørende metadata til støtte for behandlingen af dataene |
|
57) |
»offline« : for så vidt angår anvendelse af europæiske digitale identitetstegnebøger, interaktion mellem en bruger og en tredjepart på et fysisk sted ved hjælp af teknologier i umiddelbar nærhed, hvor det ikke er påkrævet, at den europæiske digitale identitetstegnebog kan få adgang til fjernsystemer via elektroniske kommunikationsnet med henblik på interaktionen |
Artikel 4
Principper vedrørende det indre marked
Artikel 5
Pseudonymer i elektroniske transaktioner
Uden at det berører specifikke regler i EU-retten eller national ret, der kræver, at brugere identificerer sig selv, eller den retsvirkning, der tillægges pseudonymer i henhold til national ret, må anvendelsen af de pseudonymer, som brugeren har valgt, ikke forbydes.
KAPITEL II
ELEKTRONISK IDENTIFIKATION
AFDELING 1
europæiske digitale id-tegnebøger
Artikel 5a
Europæiske digitale identitetstegnebøger
Europæiske digitale identitetstegnebøger leveres på én eller flere af følgende måder:
direkte af en medlemsstat
i henhold til et mandat fra en medlemsstat
uafhængigt af en medlemsstat, men med anerkendelse fra, den medlemsstat.
Europæiske digitale identitetstegnebøger skal gøre det muligt for brugeren på en måde, der er brugervenlig, gennemsigtig og sporbar for brugeren:
på sikker vis og under brugerens enekontrol at anmode om, indhente, udvælge, kombinere, lagre, slette, dele og fremlægge personidentifikationsdata og, hvis det er relevant, i kombination med elektroniske attesteringer af attributter, til autentifikation over for modtagerparter online og, hvis det er relevant, offline med henblik på at få adgang til offentlige og private tjenester, samtidig med at det sikres, at selektiv videregivelse af data er mulig
at generere pseudonymer og lagre dem krypteret og lokalt i den europæiske identitetstegnebog
på sikker vis at autentificere en anden persons europæiske digitale identitetstegnebog og modtage og dele personidentifikationsdata og elektroniske attesteringer af attributter på en sikret måde mellem de to europæiske digitale identitetstegnebøger
at få adgang til en log over alle transaktioner, der gennemføres via den europæiske digitale identitetstegnebog, via et fælles dashboard, der gør det muligt for brugeren:
at se en ajourført liste over modtagerparter, som brugeren har etableret en forbindelse med, og, hvis det er relevant, alle udvekslede data
let at anmode en modtagerpart om at slette personoplysninger i henhold til artikel 17 i forordning (EU) 2016/679
let at indberette en modtagerpart til den kompetente nationale databeskyttelsesmyndighed, hvis der modtages en angiveligt ulovlig eller mistænkelig anmodning om data
at underskrive ved hjælp af kvalificerede elektroniske signaturer eller forsegle ved hjælp af kvalificerede elektroniske segl
i det omfang det er teknisk muligt, at downloade brugerens data, elektroniske attestering af attributter og konfigurationer
at udøve brugerens ret til dataportabilitet.
Europæiske digitale identitetstegnebøger skal navnlig:
understøtte fælles protokoller og grænseflader:
til udstedelse af personidentifikationsdata, kvalificerede og ikkekvalificerede elektroniske attesteringer af attributter eller kvalificerede og ikkekvalificerede certifikater til europæiske digitale identitetstegnebøger
således at modtagerparter kan anmode om og validere personidentifikationsdata og elektroniske attesteringer af attributter
til deling og forelæggelse for modtagerparter af personidentifikationsdata, af elektronisk attestering af attributter eller af selektivt videregivne relaterede data online og, hvis det er relevant, offline
således at brugeren kan interagere med den europæiske digitale identitetstegnebog og fremvise et EU-tillidsmærke for europæiske digitale identitetstegnebøger
til på sikker vis at onboarde brugeren ved hjælp af et elektronisk identifikationsmiddel i overensstemmelse med artikel 5a, stk. 24
til interaktion mellem to personers europæiske digitale identitetstegnebøger med henblik på at modtage, validere og dele personidentifikationsdata og elektroniske attesteringer af attributter på en sikker måde
til autentifikation og identificering af modtagerparter ved at gennemføre autentifikationsmekanismer i overensstemmelse med artikel 5b
til modtagerparters validering af autenticiteten og gyldigheden af europæiske digitale identitetstegnebøger
til at anmode en modtagerpart om at slette personoplysninger i medfør af artikel 17 i forordning (EU) 2016/679
til indberetning af en modtagerpart til den kompetente nationale databeskyttelsesmyndighed, hvis der modtages en angiveligt ulovlig eller mistænkelig anmodning om data
til oprettelse af kvalificerede elektroniske signaturer eller elektroniske segl ved hjælp af kvalificerede elektroniske signatur- eller elektroniske seglgenereringssystemer
ikke give tillidstjenesteudbydere af elektroniske attesteringer af attributter oplysninger om anvendelsen af disse elektroniske attesteringer
sikre, at modtagerparters identitet kan autentificeres og identificeres ved at indføre autentifikationsmekanismer i overensstemmelse med artikel 5b
opfylde de krav, der er fastsat i artikel 8, med hensyn til sikringsniveauet »høj«, navnlig hvad angår kravene til godtgørelse og kontrol af identitet og forvaltning og autentifikation af elektroniske identifikationsmidler
i tilfælde af elektronisk attestering af attributter med indbyggede videregivelsespolitikker, gennemføre en passende mekanisme til at underrette brugeren om, at modtagerparten eller brugeren af den europæiske digitale identitetstegnebog, der anmoder om denne elektronisk attestering af attributter, har tilladelse til at få adgang til en sådan attestering
sikre, at de personidentifikationsdata, der er tilgængelige fra den elektroniske identifikationsordning, i henhold til hvilken den europæiske digitale identitetstegnebog leveres, entydigt repræsenterer den fysiske person, den juridiske person eller den fysiske person, der repræsenterer den fysiske eller juridiske person, og er knyttet til den pågældende europæiske digitale identitetstegnebog
give alle fysiske personer mulighed for at underskrive ved hjælp af kvalificerede elektroniske signaturer som standard og gratis.
Uanset første afsnit, litra g), kan medlemsstaterne træffe forholdsmæssige foranstaltninger for at sikre, at fysiske personers gratis anvendelse af kvalificerede elektroniske signaturer begrænses til ikkeerhvervsmæssige formål.
Medlemsstaterne stiller valideringsmekanismer gratis til rådighed for at:
sikre, at de europæiske digitale identitetstegnebøgers autenticitet og gyldighed kan kontrolleres
gøre det muligt for brugere at kontrollere autenticiteten og gyldigheden af identiteten af modtagerparter, der er registreret i overensstemmelse med artikel 5b.
Medlemsstaterne sikrer, at gyldigheden af den europæiske digitale identitetstegnebog kan tilbagekaldes under følgende omstændigheder:
på brugerens udtrykkelige anmodning
hvis den europæiske digitale identitetstegnebogs sikkerhed er kompromitteret
ved brugerens død eller ved ophør af en juridisk persons aktivitet.
Den tekniske ramme for den europæiske digitale identitetstegnebog:
må ikke give udbydere af elektroniske attesteringer af attributter eller enhver anden part efter udstedelsen af attesteringen af attributter mulighed for at indhente data, der gør det muligt for transaktioner eller brugeradfærd at blive sporet, forbundet, korrelere eller på anden måde opnå viden om transaktioner eller brugeradfærd, medmindre brugeren udtrykkeligt har givet tilladelse hertil
skal muliggøre teknikker til beskyttelse af privatlivets fred, som sikrer uforbindelighed, hvor attesteringen af attributter ikke kræver identifikation af brugeren.
Medlemsstaterne meddeler uden unødigt ophold Kommissionen oplysninger om:
det organ, der er ansvarligt for at oprette og ajourføre listen over registrerede modtagerparter, der benytter de europæiske digitale identitetstegnebøger i overensstemmelse med artikel 5b, stk. 5, og hvor denne liste befinder sig
de organer, der er ansvarlige for leveringen af europæiske digitale identitetstegnebøger i overensstemmelse med artikel 5a, stk. 1
de organer, der er ansvarlige for at sikre, at personidentifikationsdataene har tilknytning til den europæiske digitale identitetstegnebog i overensstemmelse med artikel 5a, stk. 5, litra f)
den mekanisme, der gør det muligt at validere de personidentifikationsdata, der er omhandlet i artikel 5a, stk. 5, litra f), og modtagerparternes identitet
mekanismen til validering af autenticiteten og gyldigheden af europæiske digitale identitetstegnebøger.
Kommissionen stiller de oplysninger, der er meddelt i medfør af første afsnit, til rådighed for offentligheden via en sikker kommunikationsforbindelse og i en elektronisk underskrevet eller forseglet form, der egner sig til automatiseret behandling.
Artikel 5b
Modtagerparter i forbindelse med europæiske digitale identitetstegnebøger
Registreringsprocessen skal være omkostningseffektiv og stå i et rimeligt forhold til risikoen. Modtagerparten skal som minimum meddele:
de oplysninger, der er nødvendige for autentifikation til europæiske digitale identitetstegnebøger, hvilket som minimum omfatter:
den medlemsstat, hvor modtagerparten er hjemmehørende, og
modtagerpartens navn og, hvis det er relevant, registreringsnummer, som det fremgår af et officielt register, sammen med dette officielle registers identifikationsdata
modtagerpartens kontaktoplysninger
den tilsigtede anvendelse af europæiske digitale identitetstegnebøger, herunder en angivelse af de data, som modtagerparten skal anmode brugere om.
Artikel 5c
Certificering af europæiske digitale identitetstegnebøger
Artikel 5d
Offentliggørelse af en liste over certificerede europæiske digitale identitetstegnebøger
Uden at det berører artikel 5a, stk. 18, skal de i nærværende artikels stk. 1 omhandlede oplysninger fra medlemsstaterne mindst omfatte:
certifikatet og certificeringsvurderingsrapporten for den certificerede europæiske digitale identitetstegnebog
en beskrivelse af den elektroniske identifikationsordning, i henhold til hvilken den europæiske digitale identitetstegnebog leveres
den gældende tilsynsordning og oplysninger om erstatningsansvarsordningen med hensyn til den part, der leverer den europæiske digitale identitetstegnebog
oplysning om, hvilken eller hvilke myndigheder der er ansvarlige for den elektroniske identifikationsordning
ordninger for suspension eller spærring af den elektroniske identifikationsordning eller autentifikationen eller af de kompromitterede dele heraf.
Artikel 5e
Sikkerhedsbrud i europæiske digitale identitetstegnebøger
Hvis det er begrundet i alvoren af sikkerhedsbruddet eller kompromitteringen omhandlet i første afsnit, trækker medlemsstaten europæiske digitale identitetstegnebøger tilbage uden unødigt ophold.
Medlemsstaten underretter de berørte brugere, de centrale kontaktpunkter, der er udpeget i henhold til artikel 46c, stk. 1, modtagerparterne og Kommissionen herom.
Artikel 5f
Grænseoverskridende benyttelse af europæiske digitale identitetstegnebøger
AFDELING 2
elektroniske identifikationsordninger
Artikel 6
Gensidig anerkendelse
Når der i henhold til national ret eller administrativ praksis kræves elektronisk identifikation ved hjælp af et elektronisk identifikationsmiddel og autentifikation som forudsætning for adgang til en onlinetjeneste, der udbydes af en offentlig myndighed i en medlemsstat, skal det elektroniske identifikationsmiddel, der er udstedt i en anden medlemsstat, anerkendes i den første medlemsstat med henblik på grænseoverskridende autentifikation af denne onlinetjeneste, forudsat at følgende betingelser er opfyldt:
det elektroniske identifikationsmiddel er udstedt under en elektronisk identifikationsordning, der er opført på den liste, som Kommissionen offentliggør i henhold til artikel 9
sikringsniveauet for det elektroniske identifikationsmiddel svarer til et sikringsniveau, der modsvarer eller er højere end det sikringsniveau, der kræves af den relevante offentlige myndighed for at få adgang til den pågældende onlinetjeneste i den første medlemsstat, forudsat at sikringsniveauet for det pågældende elektroniske identifikationsmiddel svarer til sikringsniveauet »betydelig« eller »høj«
den relevante offentlige myndighed anvender sikringsniveauet »betydelig« eller »høj« i forbindelse med adgang til den pågældende onlinetjeneste.
En sådan anerkendelse skal finde sted senest 12 måneder efter, at Kommissionen offentliggør den i første afsnit, litra a), omhandlede liste.
Artikel 7
Antagelse af anmeldelser af elektroniske identifikationsordninger
En elektronisk identifikationsordning kan anmeldes i henhold til artikel 9, stk. 1, hvis alle nedenstående betingelser er opfyldt:
det elektroniske identifikationsmiddel under den elektroniske identifikationsordning er udstedt:
af den anmeldende medlemsstat
i henhold til et mandat fra den anmeldende medlemsstat, eller
uafhængigt af den anmeldende medlemsstat og anerkendt af den pågældende medlemsstat
det elektroniske identifikationsmiddel under den elektroniske identifikationsordning kan bruges til at få adgang til mindst en tjeneste, som udbydes af en offentlig myndighed, og som kræver elektronisk identifikation i den anmeldende medlemsstat
den elektroniske identifikationsordning og de elektroniske identifikationsmidler, der er udstedt i medfør heraf, opfylder kravene i mindst ét af de sikringsniveauer, der er fastsat i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3
den anmeldende medlemsstat sikrer, at de personidentifikationsdata, der entydigt repræsenterer den pågældende person, i overensstemmelse med de tekniske specifikationer, standarderne og procedurerne for det relevante sikringsniveau, der er anført i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3, er knyttet til den i artikel 3, nr. 1), omhandlede fysisk eller juridisk person på tidspunktet for udstedelsen af de elektroniske identifikationsmidler under denne ordning
den part, der udsteder det elektroniske identifikationsmiddel under denne ordning, sikrer, at det elektroniske identifikationsmiddel, der knyttes til den person, der er omhandlet i litra d) i nærværende artikel, er i overensstemmelse med de tekniske specifikationer, standarderne og procedurerne for det relevante sikringsniveau, der er fastsat i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3
den anmeldende medlemsstat sikrer, at der er onlineadgang til autentifikation, så enhver modtagerpart, der er hjemmehørende på en anden medlemsstats område, kan bekræfte de personidentifikationsdata, der er modtaget i elektronisk form.
For modtagerparter, der ikke er offentlige myndigheder, kan den anmeldende medlemsstat fastsætte betingelser for adgang til den pågældende autentifikation. Den grænseoverskridende autentifikation skal foretages gratis, når den gennemføres i forbindelse med en onlinetjeneste, der udbydes af en offentlig myndighed.
Medlemsstaterne må ikke pålægge modtagerparter, som vil gennemføre en sådan autentifikation, urimelige tekniske krav, når sådanne krav forhindrer eller i væsentligt omfang hindrer interoperabilitet mellem de anmeldte elektroniske identifikationsordninger
senest seks måneder forud for anmeldelse i henhold til artikel 9, stk. 1, fremlægger den anmeldende medlemsstat med henblik på artikel 12, stk. 5, en beskrivelse af ordningen for de andre medlemsstater i overensstemmelse med de proceduremæssige ordninger, der er fastsat ved de gennemførelsesretsakter, der er vedtaget i medfør af i artikel 12, stk. 6
den elektroniske identifikationsordning opfylder de krav, der er fastsat i den i artikel 12, stk. 8, omhandlede gennemførelsesretsakt.
Artikel 8
Sikringsniveauer for elektroniske identifikationsordninger
Sikringsniveauerne »lav«, »betydelig« og »høj« skal opfylde følgende kriterier:
sikringsniveauet »lav« henviser til et elektronisk identifikationsmiddel i en elektronisk identifikationsordning, der udviser en begrænset grad af tillid til en persons påståede identitet, og som er karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for misbrug eller ændring af identiteten
sikringsniveauet »betydelig« henviser til et elektronisk identifikationsmiddel i en elektronisk identifikationsordning, der udviser en middelstor grad af tillid til en persons påståede identitet, og som er karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for misbrug eller ændring af identiteten
sikringsniveauet »høj« henviser til et elektronisk identifikationsmiddel i en elektronisk identifikationsordning, der giver en højere grad af tillid til en persons påståede identitet end elektroniske identifikationsmidler med sikringsniveauet »betydelig«, og som er karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for misbrug eller ændring af identiteten.
Disse tekniske minimumsspecifikationer, minimumsstandarder, og procedurer udarbejdes på grundlag af pålideligheden og kvaliteten af følgende elementer:
proceduren for godtgørelse og kontrol af identiteten på fysiske og juridiske personer, der ansøger om udstedelse af et elektronisk identifikationsmiddel
proceduren for udstedelse af det pågældende elektroniske identifikationsmiddel
autentifikationsmekanismen, hvorigennem den fysiske eller den juridiske person anvender det elektroniske identifikationsmiddel til at bekræfte vedkommendes identitet over for en modtagerpart
enheden, der udsteder det elektroniske identifikationsmiddel
ethvert andet organ, der er involveret i ansøgningsproceduren for udstedelse af det elektroniske identifikationsmiddel
de tekniske specifikationer og sikkerhedsspecifikationerne for det udstedte elektroniske identifikationsmiddel.
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 9
Anmeldelse
Den anmeldende medlemsstat meddeler Kommissionen nedenstående oplysninger og hurtigst muligt eventuelle senere ændringer heraf:
en beskrivelse af den elektroniske identifikationsordning, herunder dens sikringsniveau og udstederen eller udstederne af elektroniske identifikationsmidler under ordningen
den gældende tilsynsordning og oplysninger om erstatningsansvarsordningen med hensyn til følgende:
den part, der udsteder det elektroniske identifikationsmiddel, og
den part, der udfører autentifikationsproceduren
oplysning om, hvilken eller hvilke myndigheder der er ansvarlige for den elektroniske identifikationsordning
oplysning om den eller de enheder, der forvalter registreringen af de entydige personidentifikationsdata
en beskrivelse af, hvordan kravene i gennemførelsesretsakterne, jf. artikel 12, stk. 8, opfyldes
en beskrivelse af den autentifikation, der er omhandlet i artikel 7, litra f)
nærmere bestemmelser om suspension eller spærring af den anmeldte elektroniske identifikationsordning eller autentifikationen eller de kompromitterede dele heraf.
Artikel 10
Sikkerhedsbrud i elektroniske identifikationsordninger
Kommissionen offentliggør hurtigst muligt de nødvendige ændringer til listen, jf. artikel 9, stk. 2, i Den Europæiske Unions Tidende.
Artikel 11
Erstatningsansvar
Artikel 11a
Grænseoverskridende identitetssammenkobling
Artikel 12
Interoperabilitet
Interoperabilitetsrammen skal opfylde følgende kriterier:
den tager sigte på at være teknologineutral og forskelsbehandler ikke mellem specifikke nationale tekniske løsninger til elektronisk identifikation inden for en medlemsstat
den følger europæiske og internationale standarder, når det er muligt
den letter gennemførelsen af privatlivsbeskyttelse og sikkerhed gennem design
▼M2 —————
Interoperabilitetsrammen skal omfatte:
en henvisning til tekniske minimumskrav for sikringsniveauerne i artikel 8
en kortlægning af nationale sikringsniveauer for anmeldte elektroniske identifikationsordninger under sikringsniveauerne i artikel 8
en henvisning til tekniske minimumskrav for interoperabilitet
en henvisning til et minimum af personidentifikationsdata, der er nødvendige for entydigt at repræsentere en fysisk eller juridisk person eller en fysisk person, der repræsenterer en anden fysisk person eller en juridisk person, og som stilles til rådighed fra elektroniske identifikationsordninger
forretningsorden
tvistbilæggelsesordninger, og
fælles operationelle sikkerhedsstandarder.
▼M2 —————
Artikel 12a
Certificering af elektroniske identifikationsordninger
Artikel 12b
Adgang til hardware og softwarefunktioner
Hvis leverandører af europæiske digitale identitetstegnebøger og udstedere af anmeldte elektroniske identifikationsmidler, der handler i kommerciel eller professionel egenskab og anvender centrale platformstjenester som defineret i artikel 2, nr. 2), i Europa-Parlamentets og Rådets forordning (EU) 2022/1925 ( 7 ) med henblik på eller i forbindelse med levering af europæiske digitale identitetstegnebogstjenester og elektroniske identifikationsmidler til slutbrugere, er erhvervsbrugere som defineret i nævnte forordnings artikel 2, nr. 21), giver gatekeeperne navnlig dem effektiv interoperabilitet med og, med henblik på interoperabilitet, adgang til det samme styresystem eller de samme hardware- eller softwarefunktioner. Sådan effektiv interoperabilitet og adgang skal gives gratis, og uanset om hardware- eller softwarefunktionerne er en del af styresystemet, er tilgængelige for eller anvendes af den pågældende gatekeeper, når denne udbyder sådanne tjenester i den i artikel 6, stk. 7, i forordning (EU) 2022/1925 anvendte betydning. Nærværende artikel berører ikke nærværende forordnings artikel 5a, stk. 14.
KAPITEL III
TILLIDSTJENESTER
AFDELING 1
Almindelige bestemmelser
Artikel 13
Erstatningsansvar og bevisbyrde
Den fysiske eller juridiske person, der hævder at have lidt skade som omhandlet i første afsnit, bærer bevisbyrden for, at en ikkekvalificeret tillidstjenesteudbyder har handlet forsætligt eller uagtsomt.
En kvalificeret tillidstjenesteudbyder formodes at have handlet forsætligt eller uagtsomt, medmindre den pågældende kvalificerede tillidstjenesteudbyder beviser, at den i første afsnit omhandlede skade indtraf uden den pågældende kvalificerede tillidstjenesteudbyders forsæt eller uagtsomhed.
Artikel 14
Internationale aspekter
De gennemførelsesretsakter, der er omhandlet i første afsnit, vedtages efter undersøgelsesproceduren, jf. artikel 48, stk. 2.
Artikel 15
Tilgængelighed for personer med handicap og særlige behov
Leveringen af elektroniske identifikationsmidler, tillidstjenester og slutbrugerprodukter, der anvendes til levering af disse tjenester, skal gøres tilgængelige på et klart og forståeligt sprog i overensstemmelse med De Forenede Nationers konvention om rettigheder for personer med handicap og med tilgængelighedskravene i direktiv (EU) 2019/882, således at også personer, der oplever funktionelle begrænsninger, såsom ældre, og personer med begrænset adgang til digitale teknologier, får gavn heraf.
Artikel 16
Sanktioner
Medlemsstaterne sikrer, at kvalificerede og ikkekvalificerede tillidstjenesteudbyderes overtrædelser af denne forordning straffes med administrative bøder med et maksimum på mindst:
5 000 000 EUR, hvis tillidstjenesteudbyderen er en fysisk person, eller
hvis tillidstjenesteyderen er en juridisk person, 5 000 000 EUR eller 1 % af den samlede globale årsomsætning i den virksomhed, som tillidstjenesteudbyderen tilhørte, i det regnskabsår, der går forud for det år, hvor overtrædelsen fandt sted, alt efter hvilket beløb der er højest.
AFDELING 2
Ikkekvalificerede tillidstjenester
▼M2 —————
▼M1 —————
Artikel 19a
Krav til ikkekvalificerede tillidstjenesteudbydere
En ikkekvalificeret tillidstjenesteudbyder, der udbyder ikkekvalificerede tillidstjenester, skal:
indføre passende politikker og træffe tilsvarende foranstaltninger til at styre juridiske, erhvervsmæssige, operationelle og andre direkte eller indirekte risici i forbindelse med leveringen af den ikkekvalificerede tillidstjeneste, der uanset artikel 21 i direktiv (EU) 2022/2555 skal omfatte som minimum foranstaltninger vedrørende:
registrerings- og onboardingprocedurer for en tillidstjeneste
den proceduremæssige eller administrative kontrol, der er nødvendig for at udbyde tillidstjenester
forvaltning og gennemførelse af tillidstjenester
uden unødigt ophold og under alle omstændigheder senest 24 timer efter at være blevet opmærksom på et sikkerhedsbrud eller en forstyrrelse underrette tilsynsorganet, de identificerbare berørte enkeltpersoner, offentligheden, hvis det er i offentlighedens interesse, og, hvis det er relevant, andre relevante kompetente myndigheder om eventuelle sikkerhedsbrud eller forstyrrelser i leveringen af tjenesten eller gennemførelsen af de foranstaltninger, der er omhandlet i litra a), nr. i), ii) eller iii), som har en betydelig indvirkning på den tillidstjeneste, der udbydes, eller på de personoplysninger, der opbevares deri.
AFDELING 3
Kvalificerede tillidstjenesteydelser
Artikel 20
Tilsyn med kvalificerede tillidstjenesteudbydere
Hvis udbyderen ikke afhjælper manglen og, hvis det er relevant, inden for den frist, der er fastsat af tilsynsorganet, tilbagetrækker tilsynsorganet, hvis det er berettiget navnlig ud fra omfanget, varigheden og konsekvenserne af manglen, den pågældende tjenesteudbyders eller den udbudte berørte tjenestes status som kvalificeret.
Senest den 21. maj 2025 fastsætter Kommissionen ved hjælp af gennemførelsesretsakter en liste over referencestandarder og fastsætter, hvor det er nødvendigt, specifikationer og procedurer med henblik på følgende:
akkreditering af overensstemmelsesvurderingsorganerne og for overensstemmelsesvurderingsrapporten omhandlet i stk. 1
revisionskrav, i henhold til hvilke overensstemmelsesvurderingsorganerne foretager overensstemmelsesvurderingen, herunder en samlet vurdering, af de kvalificerede tillidstjenesteudbydere som omhandlet i stk. 1
overensstemmelsesvurderingsordninger for overensstemmelsesvurderingsorganernes overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere og for udarbejdelse af rapporten omhandlet i stk. 1.
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 48, stk. 2.
Artikel 21
Iværksættelse af en kvalificeret tillidstjeneste
For at kontrollere, at tillidstjenesteudbyderen opfylder de krav, der er fastsat i artikel 21 i direktiv (EU) 2022/2555, anmoder tilsynsorganet de kompetente myndigheder, der er udpeget eller oprettet i henhold til artikel 8, stk. 1, i nævnte direktiv, om at gennemføre tilsynsforanstaltninger med dette formål og fremlægge oplysninger om resultatet uden unødigt ophold og under alle omstændigheder senest to måneder efter modtagelsen af denne anmodning. Er kontrollen ikke afsluttet inden to måneder efter anmeldelsen, underretter disse kompetente myndigheder tilsynsorganet herom og forklarer årsagerne til forsinkelsen samt oplyser, hvornår kontrollen skal være afsluttet.
Hvis tilsynsorganet konkluderer, at tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, overholder de i denne forordning fastsatte krav, tildeler tilsynsorganet tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, status som kvalificeret og underretter senest tre måneder efter anmeldelsen i overensstemmelse med nærværende artikels stk. 1, det i artikel 22, stk. 3, omhandlede organ med henblik på ajourføring af positivlisterne omhandlet i artikel 22, stk. 1.
Er kontrollen ikke afsluttet inden tre måneder efter anmeldelsen, underretter tilsynsorganet tillidstjenesteudbyderen herom og forklarer årsagerne til forsinkelsen samt oplyser, hvornår kontrollen skal være afsluttet.
Artikel 22
Positivlister
Artikel 23
EU-tillidsmærket for kvalificerede tillidstjenester
Artikel 24
Krav til kvalificerede tillidstjenesteudbydere
Den kontrol af identiteten, der er omhandlet i stk. 1, udføres med hensigtsmæssige midler af den kvalificerede tillidstjenesteudbyder enten direkte eller via en tredjemand på grundlag af én af følgende metoder eller, når det er nødvendigt, en kombination heraf og i overensstemmelse med de gennemførelsesretsakter, der er omhandlet i stk. 1c:
ved hjælp af den europæiske digitale identitetstegnebog eller et anmeldt elektronisk identifikationsmiddel, der opfylder de krav, der er fastsat i artikel 8 med hensyn til sikringsniveauet »høj«
ved hjælp af et certifikat af en kvalificeret elektronisk signatur eller af et kvalificeret elektronisk segl udstedt under overholdelse af litra a), c) eller d)
ved hjælp af andre identifikationsmetoder, der sikrer identifikation af personen med en høj grad af tillid, og hvis overensstemmelse bekræftes af et overensstemmelsesvurderingsorgan
ved fysisk tilstedeværelse af den fysiske person eller af en bemyndiget repræsentant for den juridiske person, ved hjælp af passende dokumentation og procedurer, i overensstemmelse med national ret.
Den kontrol af attributterne, der er omhandlet i stk. 1, udføres med hensigtsmæssige midler af den kvalificerede tillidstjenesteudbyder enten direkte eller via en tredjemand på grundlag af én af følgende metoder eller, når det er nødvendigt, en kombination heraf og i overensstemmelse med de gennemførelsesretsakter, der er omhandlet i stk. 1c:
ved hjælp af den europæiske digitale identitetstegnebog eller et anmeldt elektronisk identifikationsmiddel, der opfylder de krav, der er fastsat i artikel 8 med hensyn til sikringsniveauet »høj«
ved hjælp af et certifikat for en kvalificeret elektronisk signatur eller for et kvalificeret elektronisk segl, der er udstedt i overensstemmelse med stk. 1a, litra a), c) eller d)
ved hjælp af en kvalificeret elektronisk attestering af attributter
ved hjælp af andre metoder, der sikrer kontrol af attributterne med en høj grad af tillid, og hvis overensstemmelse bekræftes af et overensstemmelsesvurderingsorgan
ved fysisk tilstedeværelse af den fysiske person eller af en bemyndiget repræsentant for den juridiske person, ved hjælp af passende dokumentation og procedurer, i overensstemmelse med national ret.
En kvalificeret tillidstjenesteudbyder, der udbyder kvalificerede tillidstjenester, skal:
informere tilsynsorganet mindst én måned, før der gennemføres ændringer i udbuddet af dennes kvalificerede tillidstjenester, eller mindst tre måneder før, hvis det er hensigten at ophøre med denne virksomhed
beskæftige personale, og eventuelt underleverandører, der har den nødvendige ekspertviden og troværdighed og de nødvendige erfaringer, og kvalifikationer, og som har fået tilstrækkelig uddannelse i reglerne for sikkerhed og beskyttelse af personoplysninger og skal anvende administrative og ledelsesmæssige procedurer i overensstemmelse med europæiske eller internationale standarder
i forbindelse med erstatningsansvaret for skader, have tilstrækkelige økonomiske ressourcer til rådighed, jf. artikel 13, og/eller anskaffe en passende ansvarsforsikring i overensstemmelse med national ret
på en klar, udførlig og let forståelig måde underrette på et offentligt tilgængeligt sted eller individuelt de personer, der ønsker at gøre brug af en kvalificeret tillidstjeneste, om de nøjagtige vilkår og betingelser for anvendelsen af denne tjeneste, herunder eventuelle begrænsninger for anvendelsen heraf, inden de indgår i et kontraktforhold
anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og sikre den tekniske sikkerhed og pålidelighed i de processer, som disse systemer og produkter understøtter, herunder ved hjælp af passende kryptografiske teknikker
benytte pålidelige systemer til opbevaring af de data, den kvalificerede tillidstjenesteudbyder modtager, i kontrollerbar form, således at
de kun er offentligt tilgængelige i de tilfælde, hvor den person, som dataene vedrører, har givet sit samtykke
kun bemyndigede personer kan foretage tilføjelser til og ændringer af de opbevarede data
dataenes ægthed kan kontrolleres
uanset artikel 21 i direktiv (EU) 2022/2555 indføre passende politikker og træffe tilsvarende foranstaltninger til at styre juridiske, erhvervsmæssige, operationelle og andre direkte eller indirekte risici i forbindelse med leveringen af den kvalificerede tillidstjeneste, herunder som minimum foranstaltninger vedrørende følgende:
registrerings- og onboardingprocedurer for en tjeneste
proceduremæssig eller administrativ kontrol
forvaltning og gennemførelse af tjenester
uden unødigt ophold og under alle omstændigheder inden for 24 timer efter hændelsen underrette tilsynsorganet, de identificerbare berørte enkeltpersoner, andre relevante kompetente organer, hvis det er relevant, og efter anmodning fra tilsynsorganet offentligheden, hvis det er i offentlighedens interesse, om eventuelle sikkerhedsbrud eller forstyrrelser i leveringen af tjenester eller gennemførelsen af de foranstaltninger, der er omhandlet i litra fa), nr. i), ii) eller iii), som har en betydelig indvirkning på den tillidstjeneste, der udbydes, eller på de personoplysninger, der opbevares heri
træffe passende foranstaltninger mod forfalskning, tyveri eller misbrug af data eller sletning, ændring eller utilgængeliggørelse af data uden ret hertil
så længe det er nødvendigt, efter at den kvalificerede tillidstjenesteudbyder har indstillet sin virksomhed, registrere alle relevante oplysninger om de data, den kvalificerede tillidstjenesteudbyder har udstedt og modtaget, og sørge for, at de er tilgængelige, for at kunne fremlægge bevis i retssager og for at garantere tjenestens kontinuitet. Sådan registrering kan ske elektronisk
have en ajourført plan i tilfælde af virksomhedsafbrydelse for at sikre tjenestens kontinuitet i overensstemmelse med bestemmelser, der er kontrolleret af tilsynsorganet i henhold til artikel 46b, stk. 4, litra i)
▼M2 —————
oprette og ajourføre en certifikatdatabase, når den kvalificerede tillidstjenesteudbyder udsteder kvalificerede certifikater.
Tilsynsorganet kan anmode om oplysninger ud over de oplysninger, der er meddelt i medfør af første afsnit, litra a), eller om resultatet af en overensstemmelsesvurdering og kan stille betingelser for tilladelsen til at gennemføre de påtænkte ændringer af de kvalificerede tillidstjenester. Er kontrollen ikke afsluttet inden tre måneder efter anmeldelsen, underretter tilsynsorganet tillidstjenesteudbyderen herom og forklarer årsagerne til forsinkelsen samt oplyser, hvornår kontrollen skal være afsluttet.
Artikel 24a
Anerkendelse af kvalificerede tillidstjenester
AFDELING 4
Elektroniske signaturer
Artikel 25
Retsvirkninger af elektroniske signaturer
▼M2 —————
Artikel 26
Kravene til avancerede elektroniske signaturer
En avanceret elektronisk signatur skal opfylde følgende krav:
den er entydigt knyttet til underskriveren
den kan identificere underskriveren
den genereres ved hjælp af elektroniske signaturgenereringsdata, som underskriveren med en høj grad af tillid kan anvende og har fuld kontrol med, og
den er knyttet til de data, som er underskrevet med den, på en sådan måde, at en hvilken som helst senere ændring af disse data kan opdages.
Artikel 27
Elektroniske signaturer i offentlige tjenester
▼M2 —————
Artikel 28
Kvalificerede certifikater for elektroniske signaturer
Medlemsstaterne kan fastsætte nationale regler for en midlertidig suspension af et kvalificeret certifikat for elektroniske signaturer på følgende betingelser:
hvis et kvalificeret certifikat for elektroniske signaturer er blevet suspenderet midlertidigt, mister det sin gyldighed i suspensionsperioden
suspensionsperioden angives klart i certifikatdatabasen, og suspensionsstatus gøres synlig i suspensionsperioden af den tjeneste, der formidler oplysninger om status for certifikatet.
Artikel 29
Krav til kvalificerede elektroniske signaturgenereringssystemer
Artikel 29a
Krav til kvalificerede tjenester til forvaltning af kvalificerede elektroniske signaturgenereringssystemer på afstand
Forvaltning af kvalificerede elektroniske signaturgenereringssystemer på afstand som en kvalificeret tjeneste må kun varetages af en kvalificeret tillidstjenesteudbyder, som:
genererer eller forvalter elektroniske signaturgenereringsdata på underskriverens vegne
uagtet bilag II, punkt 1), litra d), kopierer de elektroniske signaturgenereringsdata udelukkende til backupformål, forudsat at følgende krav er opfyldt:
der opretholdes samme niveau af sikkerhed for de kopierede datasæt som for de originale datasæt
antallet af kopierede datasæt overstiger ikke det minimum, der er nødvendigt for at sikre tjenestens kontinuitet
opfylder de krav, der er angivet i certificeringsrapporten for det specifikke kvalificerede elektroniske signaturgenereringssystem på afstand, der er udstedt i medfør af artikel 30.
Artikel 30
Certificering af kvalificerede elektroniske signaturgenereringssystemer
Certificeringen i stk. 1 baseres på en af følgende processer:
en sikkerhedsevalueringsproces, som gennemføres i overensstemmelse med en af de standarder for sikkerhedsvurdering af informationsteknologiprodukter, der er opført på den liste, der er udarbejdet i overensstemmelse med andet afsnit, eller
en anden proces end den i litra a) omhandlede, såfremt den anvender sammenlignelige sikkerhedsniveauer og såfremt det i stk. 1 omhandlede offentlige eller private organ meddeler denne proces til Kommissionen. Den pågældende proces kan kun anvendes, hvis de standarder, der er omhandlet i litra a), ikke findes, eller hvis en sikkerhedsevalueringsproces som omhandlet i litra a) ikke er afsluttet.
Kommissionen udarbejder ved hjælp af gennemførelsesretsakter en liste over standarder for sikkerhedsvurderingen af de informationsteknologiprodukter, der er omhandlet i litra a). Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 31
Offentliggørelse af en liste over certificerede kvalificerede elektroniske signaturgenereringssystemer
Artikel 32
Krav til validering af kvalificerede elektroniske signaturer
Processen for validering af en kvalificeret elektronisk signatur skal bekræfte gyldigheden af en kvalificeret elektronisk signatur, såfremt:
det certifikat, der støtter signaturen, på underskriftstidspunktet var et kvalificeret certifikat for elektronisk signatur, der var i overensstemmelse bilag I
det kvalificerede certifikat var udstedt af en kvalificeret tillidstjenesteudbyder og var gyldigt på underskriftstidspunktet
signaturvalideringsdataene stemmer overens med de data, der leveres til modtagerparten
det entydige sæt data, der repræsenterer underskriveren i certifikatet, leveres korrekt til modtagerparten
en eventuel anvendelse af et pseudonym fremgår klart for modtagerparten, såfremt der på underskriftstidspunktet blev anvendt et pseudonym
den elektroniske signatur er genereret af et kvalificeret elektronisk signaturgenereringssystem
de underskrevne datas integritet ikke er bragt i fare
kravene i artikel 26 var opfyldt på underskriftstidspunktet.
En validering af kvalificerede elektroniske signaturer, der overholder de i stk. 3 omhandlede standarder, specifikationer og procedurer, formodes at opfylde de krav, der er fastsat i dette stykkes første afsnit.
Artikel 32a
Krav til validering af avancerede elektroniske signaturer, der er baseret på kvalificerede certifikater
Processen for validering af en avanceret elektronisk signatur, der er baseret på et kvalificeret certifikat skal bekræfte gyldigheden af en avanceret elektronisk signatur, der er baseret på et kvalificeret certifikat, forudsat at:
det certifikat, der understøtter signaturen, på underskriftstidspunktet var et kvalificeret certifikat for elektronisk signatur, der overholder bilag I
det kvalificerede certifikat var udstedt af en kvalificeret tillidstjenesteudbyder og var gyldigt på underskriftstidspunktet
signaturvalideringsdataene stemmer overens med de data, der leveres til modtagerparten
det entydige sæt data, der repræsenterer underskriveren i certifikatet, leveres korrekt til modtagerparten
en eventuel anvendelse af et pseudonym fremgår klart for modtagerparten, hvis der på underskriftstidspunktet blev anvendt et pseudonym
de underskrevne datas integritet ikke er bragt i fare
kravene i artikel 26 er opfyldt på underskriftstidspunktet.
Artikel 33
Kvalificeret valideringstjeneste for kvalificerede elektroniske signaturer
En kvalificeret valideringstjeneste for kvalificerede elektroniske signaturer må kun stilles til rådighed af en kvalificeret tillidstjenesteudbyder, der
udfører validering i overensstemmelse med artikel 32, stk. 1, og
gør det muligt for modtagerparter automatisk at modtage resultatet af valideringsprocessen på pålidelig og effektiv vis, hvor resultatet er forsynet med valideringstjenesteudbyderens avancerede elektroniske signatur eller avancerede elektroniske segl.
Artikel 34
Kvalificeret tjeneste til bevaring af kvalificerede elektroniske signaturer
AFDELING 5
Elektroniske segl
Artikel 35
Retsvirkninger af elektroniske segl
▼M2 —————
Artikel 36
Krav til avancerede elektroniske segl
Et avanceret elektronisk segl skal opfylde følgende krav:
det er entydigt knyttet til den forseglende part
det kan identificere den forseglende part
det genereres ved hjælp af elektroniske seglgenereringsdata, som den forseglende part med en høj grad af tillid og fuld kontrol kan anvende til at generere elektroniske segl, og
det er knyttet til de data, som det vedrører, på en sådan måde, at en hvilken som helst senere ændring af disse data kan opdages.
Artikel 37
Elektroniske segl i offentlige tjenester
▼M2 —————
Artikel 38
Kvalificerede certifikater for elektroniske segl
Medlemsstaterne kan fastsætte nationale regler for en midlertidig suspension af kvalificerede certifikater for elektroniske segl på følgende betingelser:
hvis et kvalificeret certifikat for elektronisk segl er blevet suspenderet midlertidigt, mister det sin gyldighed i suspensionsperioden
suspensionsperioden angives klart i certifikatdatabasen og suspensionsstatus gøres synlig i suspensionsperioden af den tjeneste, der formidler oplysninger om status for certifikatet.
Artikel 39
Kvalificerede elektroniske seglgenereringssystemer
Artikel 39a
Krav til kvalificerede tjenester til forvaltning af kvalificerede elektroniske seglgenereringssystemer på afstand
Artikel 29a finder tilsvarende anvendelse på kvalificerede tjenester til forvaltning af kvalificerede elektroniske seglgenereringssystemer på afstand.
Artikel 40
Validering og bevaring af kvalificerede elektroniske segl
Artikel 32, 33 og 34 finder tilsvarende anvendelse for så vidt angår validering og bevaring af kvalificerede elektroniske segl.
Artikel 40a
Krav til validering af avancerede elektroniske segl, der er baseret på kvalificerede certifikater
Artikel 32a finder tilsvarende anvendelse på validering af avancerede elektroniske segl, der er baseret på kvalificerede certifikater.
AFDELING 6
Elektroniske tidsstempler
Artikel 41
Retsvirkninger af elektroniske tidsstempler
▼M2 —————
Artikel 42
Krav til kvalificerede elektroniske tidsstempler
Kvalificerede elektroniske tidsstempler skal opfylde følgende krav:
de forbinder dato og tidspunkt med data på en sådan måde, at det med rimelighed udelukker muligheden for at ændre dataene, uden at det opdages
de bygger på en præcis tidskilde forbundet med koordineret universaltid, og
de er forsynet med den kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller forseglet med dennes avancerede elektroniske segl eller med en anden tilsvarende metode.
AFDELING 7
Elektroniske registrerede leveringstjenester
Artikel 43
Retsvirkning af elektroniske registrerede leveringstjenester
Artikel 44
Krav til kvalificerede elektroniske registrerede leveringstjenester
Kvalificerede elektroniske registrerede leveringstjenester skal opfylde følgende krav:
de udbydes af en eller flere kvalificerede tillidstjenesteudbydere
de sikrer med en høj grad af tillid identifikation af afsenderen
de sikrer forud for levering af dataene identifikation af modtageren
afsendelsen og modtagelsen af data er beskyttet af en kvalificeret tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl på en sådan måde, at det er umuligt at ændre dataene, uden at det opdages
hvis det er nødvendigt at ændre dataene, for at de kan sendes eller modtages, angives dette klart over for afsenderen og modtageren af dataene
datoen og tidspunktet for afsendelse, modtagelse og en eventuel ændring af data angives ved hjælp af et kvalificeret elektronisk tidsstempel.
Overføres dataene mellem to eller flere kvalificerede tillidstjenesteudbydere, gælder kravene i litra a)-f) for samtlige kvalificerede tillidstjenesteudbydere.
AFDELING 8
Webstedsautentifikation
Artikel 45
Krav til kvalificerede certifikater for webstedsautentifikation
Artikel 45a
Forebyggende foranstaltninger vedrørende cybersikkerhed
AFDELING 9
elektronisk attestering af attributter
Artikel 45b
Retsvirkninger af elektronisk attestering af attributter
Artikel 45c
Elektronisk attestering af attributter i offentlige tjenester
Hvis der i henhold til national ret kræves elektronisk identifikation ved hjælp af et elektronisk identifikationsmiddel og autentifikation for adgang til en onlinetjeneste, der leveres af en offentlig myndighed, erstatter personidentifikationsdata i den elektroniske attestering af attributter ikke elektronisk identifikation ved hjælp af et elektronisk identifikationsmiddel og autentifikation med elektronisk identifikation, medmindre medlemsstaten specifikt tillader dette. I disse tilfælde accepteres kvalificeret elektronisk attestering af attributter fra andre medlemsstater også.
Artikel 45d
Krav til kvalificeret elektronisk attestering af attributter
Artikel 45e
Kontrol af attributter i forhold til autentiske kilder
Artikel 45f
Krav til elektronisk attestering af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde
En elektronisk attestering af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, skal opfylde følgende krav:
dem, der er fastsat i bilag VII
det kvalificerede certifikat, der støtter den kvalificerede elektroniske signatur eller det kvalificerede elektroniske segl fra den i artikel 3, nr. 46), omhandlede offentlige myndighed, der er identificeret som den i bilag VII, litra b), omhandlede udsteder, indeholdende et specifikt sæt certificerede attributter i en form, der egner sig til automatisk behandling:
med angivelse af, at den udstedende myndighed er etableret i overensstemmelse med EU-retten eller national ret som ansvarlig for den autentiske kilde, på grundlag af hvilken den elektroniske attestering af attributter udstedes, eller som den myndighed, der er udpeget til at handle på dens vegne
med tilvejebringelse af et sæt data, der utvetydigt repræsenterer den i nr. i) omhandlede autentiske kilde, og
med fastlæggelse af den i nr. i) omhandlede EU-ret eller nationale ret.
Artikel 45g
Udstedelse af elektroniske attesteringer af attributter til europæiske digitale identitetstegnebøger
Artikel 45h
Supplerende regler for levering af tjenester til elektronisk attestering af attributter
AFDELING 10
elektroniske arkiveringstjenester
Artikel 45i
Retsvirkning af elektronisk arkiveringstjeneste
Artikel 45j
Krav til kvalificerede elektroniske arkiveringstjenester
Kvalificerede elektroniske arkiveringstjenester skal opfylde følgende krav:
de udbydes af kvalificerede tillidstjenesteudbydere
de anvender procedurer og teknologier, der kan sikre elektroniske data og elektroniske dokumenters holdbarhed og læsbarhed ud over den teknologiske gyldighedsperiode og i det mindste i den lovbestemte eller kontraktlige opbevaringsperiode, samtidig med at deres integritet og nøjagtigheden af deres oprindelse bevares
de sikrer, at disse elektroniske data og elektroniske dokumenter opbevares på en sådan måde, at de beskyttes mod tab og ændringer, bortset fra ændringer vedrørende deres medium eller elektroniske format
de gør det muligt for bemyndigede modtagerparter automatisk at modtage en rapport, der bekræfter, at elektroniske data og elektroniske dokumenter, der hentes fra et kvalificeret elektronisk arkiv, er omfattet af formodningen om dataenes integritet fra begyndelsen af opbevaringsperioden til det tidspunkt, hvor de hentes.
Den i første afsnits litra d) omhandlede rapport skal leveres på en pålidelig og effektiv måde og være forsynet med den kvalificerede elektroniske signatur eller det kvalificerede elektroniske segl fra udbyderen af den kvalificerede elektroniske arkiveringstjeneste.
AFDELING 11
elektroniske hovedbøger
Artikel 45k
Retsvirkninger af elektroniske hovedbøger
Artikel 45l
Krav til kvalificerede elektroniske hovedbøger
Kvalificerede elektroniske hovedbøger skal opfylde følgende krav:
de er oprettet og forvaltes af én eller flere kvalificerede tillidstjenesteudbydere
de fastlægger oprindelsen af dataposterne i hovedbogen
de sikrer en entydig kronologisk rækkefølge af dataposterne i hovedbogen
de registrerer data på en sådan måde, at enhver efterfølgende ændring af dataene omgående kan konstateres, hvorved deres integritet over tid sikres.
KAPITEL IV
ELEKTRONISKE DOKUMENTER
Artikel 46
Retsvirkninger af elektroniske dokumenter
Et elektronisk dokument må ikke nægtes retsvirkning og anerkendelse som bevis under retssager, alene af den grund at det er i elektronisk form.
KAPITEL IVa
STYRINGSRAMME
Artikel 46a
Tilsyn med rammen for den europæiske digitale identitetstegnebog
De tilsynsorganer, der er udpeget i medfør af første afsnit, tillægges de nødvendige beføjelser og tilstrækkelige ressourcer til varetagelsen af deres opgaver på en virkningsfuld, effektiv og uafhængig måde.
De i medfør af stk. 1 udpegede tilsynsorganer har følgende rolle:
at føre tilsyn med udbydere af europæiske digitale identitetstegnebøger, der er hjemmehørende i den udpegende medlemsstat, og ved hjælp af forudgående og efterfølgende tilsynsvirksomhed at sikre, at disse udbydere og europæiske digitale identitetstegnebøger, som de udbyder, opfylder kravene i denne forordning
om nødvendigt at gribe ind over for udbydere af europæiske digitale identitetstegnebøger, der er hjemmehørende på den udpegende medlemsstats område, ved hjælp af efterfølgende tilsynsaktiviteter, når de får oplysninger om, at udbydere eller europæiske digitale identitetstegnebøger, som de udbyder, overtræder denne forordning.
De i medfør af stk. 1 udpegede tilsynsorganers opgaver omfatter navnlig følgende:
at samarbejde med andre tilsynsorganer og yde dem bistand i overensstemmelse med artikel 46c og 46e
at anmode om de oplysninger, der er nødvendige for at føre tilsyn med overholdelsen af denne forordning
at underrette de relevante kompetente myndigheder, der er udpeget eller oprettet i henhold til artikel 8, stk. 1, i direktiv (EU) 2022/2555 i de berørte medlemsstater, om alle væsentlige sikkerhedsbrud eller tab af integritet, som de får kendskab til i forbindelse med udførelsen af sine opgaver, og i tilfælde af væsentlige sikkerhedsbrud eller tab af integritet, som vedrører andre medlemsstater, at underrette det centrale kontaktpunkt, der er udpeget eller oprettet i henhold til artikel 8, stk. 3, i direktiv (EU) 2022/2555, i den berørte medlemsstat, og de centrale kontaktpunkter, der er udpeget i henhold til denne forordnings artikel 46c, stk. 1, i de øvrige berørte medlemsstater, og at informere offentligheden eller pålægge udbydere af europæiske digitale identitetstegnebøger at gøre det, hvis tilsynsorganet fastslår, at det er i offentlighedens interesse, at sikkerhedsbruddet eller tabet af integritet offentliggøres
at foretage inspektioner på stedet og eksternt tilsyn
at pålægge udbydere af europæiske digitale identitetstegnebøger at afhjælpe mangler i opfyldelsen af de krav, der er fastsat i denne forordning
at suspendere eller annullere registreringen og medtagelsen af modtagerparter i den mekanisme, der er omhandlet i artikel 5b, stk. 7, i tilfælde af ulovlig eller svigagtig anvendelse af den europæiske digitale identitetstegnebog
at samarbejde med de kompetente tilsynsmyndigheder, der er oprettet i henhold til artikel 51 i forordning (EU) 2016/679, navnlig ved uden unødigt ophold at underrette dem, hvor der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger, og om sikkerhedsbrud, der synes at udgøre brud på persondatasikkerheden.
Artikel 46b
Tilsyn med tillidstjenester
De tilsynsorganer, der er udpeget i medfør af første afsnit, tillægges de nødvendige beføjelser og tilstrækkelige ressourcer til varetagelsen af deres opgaver.
De tilsynsorganer, der er udpeget i medfør af stk. 1, har følgende rolle:
at føre tilsyn med kvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område, og at sikre ved hjælp af forudgående og efterfølgende tilsynsvirksomhed, at disse kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, de udbyder, opfylder kravene i denne forordning
om nødvendigt at gribe ind over for ikkekvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område ved hjælp af efterfølgende tilsynsvirksomhed, når det underrettes om, at disse ikkekvalificerede tillidstjenesteudbydere eller de tillidstjenester, de udbyder, angiveligt ikke opfylder kravene i denne forordning.
Det tilsynsorgan, der er udpeget i medfør af stk. 1, har navnlig følgende opgaver:
at underrette de relevante kompetente myndigheder, der er udpeget eller oprettet i henhold til artikel 8, stk. 1, i direktiv (EU) 2022/2555 i de berørte medlemsstater, om væsentlige sikkerhedsbrud eller tab af integritet, som det får kendskab til i forbindelse med udførelsen af sine opgaver, og i tilfælde af væsentlige sikkerhedsbrud eller tab af integritet, som vedrører andre medlemsstater, at underrette det centrale kontaktpunkt, der er udpeget eller oprettet i henhold til artikel 8, stk. 3, i direktiv (EU) 2022/2555, i den berørte medlemsstat og de centrale kontaktpunkter, der er udpeget i henhold til denne forordnings artikel 46c, stk. 1, i de øvrige berørte medlemsstater, og at informere offentligheden eller pålægge tillidstjenesteudbyderen at gøre det, hvis tilsynsorganet fastslår, at det er i offentlighedens interesse, at sikkerhedsbruddet eller tabet af integritet offentliggøres
at samarbejde med andre tilsynsorganer og yde dem bistand i overensstemmelse med artikel 46c og 46e
at analysere de overensstemmelsesvurderingsrapporter, der er omhandlet i artikel 20, stk. 1, og artikel 21, stk. 1
at aflægge rapport til Kommissionen om sin primære virksomhed i overensstemmelse med denne artikels stk. 6
at foretage kontrolundersøgelser eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere i overensstemmelse med artikel 20, stk. 2
at samarbejde med de kompetente tilsynsmyndigheder, der er oprettet i henhold til artikel 51 i forordning (EU) 2016/679, navnlig ved uden unødigt ophold at underrette dem, hvor der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger, og om sikkerhedsbrud, der synes at udgøre brud på persondatasikkerheden
at tildele kvalificerede tillidstjenesteudbydere og de tjenester, de udbyder, status som kvalificeret og at trække denne status tilbage i overensstemmelse med artikel 20 og 21
at underrette det organ, der er ansvarligt for den nationale positivliste, der er omhandlet i artikel 22, stk. 3, om sine afgørelser om tildeling eller tilbagetrækning af status som kvalificeret, medmindre dette organ også er det tilsynsorgan, der er udpeget i medfør af nærværende artikels stk. 1
at kontrollere, at der findes bestemmelser om planer for virksomhedsafbrydelse, og at de anvendes korrekt, i tilfælde hvor den kvalificerede tillidstjenesteudbyder afbryder sin virksomhed, herunder hvordan oplysninger forbliver tilgængelige i overensstemmelse med artikel 24, stk. 2, litra h)
at pålægge tillidstjenesteudbydere at afhjælpe mangler i opfyldelsen af de krav, der er fastsat i denne forordning
at undersøge påstande fremsat af webbrowserudbydere i henhold til artikel 45a og om nødvendigt at gribe ind.
Artikel 46c
Centrale kontaktpunkter
Artikel 46d
Gensidig bistand
Den gensidige bistand skal som minimum indebære, at:
det tilsynsorgan, der anvender tilsyns- og håndhævelsesforanstaltninger i én medlemsstat, underretter og hører tilsynsorganet i den anden berørte medlemsstat
et tilsynsorgan kan anmode tilsynsorganet i en anden berørt medlemsstat om at træffe tilsyns- eller håndhævelsesforanstaltninger, herunder f.eks. anmodninger om at udføre inspektioner i forbindelse med de overensstemmelsesvurderingsrapporter, der er omhandlet i artikel 20 og 21 vedrørende levering af tillidstjenester
tilsynsorganerne, når det er hensigtsmæssigt, kan gennemføre undersøgelser i fællesskab med andre medlemsstaters tilsynsorganer.
Reglerne for og fremgangsmåden ved fælles tiltag i henhold til første afsnit undersøgelser aftales og fastlægges af de berørte medlemsstater i overensstemmelse med deres nationale ret.
Et tilsynsorgan, der modtager en anmodning om bistand, kan afvise denne anmodning med en af følgende begrundelser:
den bistand, der anmodes om, står ikke i rimeligt forhold til tilsynsorganets tilsynsopgaver, der udføres i overensstemmelse med artikel 46a og 46b
tilsynsorganet er ikke kompetent til at yde den bistand, der anmodes om
det ville være uforeneligt med denne forordning at yde den bistand, der anmodes om.
Artikel 46e
Den europæiske samarbejdsgruppe for digital identitet
Samarbejdsgruppen har følgende opgaver:
at udveksle rådgivning og samarbejde med Kommissionen om nye politiske initiativer inden for digitale identitetstegnebøger, elektroniske identifikationsmidler og tillidstjenester
i det omfang det er relevant, at rådgive Kommissionen tidligt i forberedelsen af udkast til gennemførelsesretsakter og delegerede retsakter, der skal vedtages i henhold til denne forordning
for at støtte tilsynsorganerne i gennemførelsen af bestemmelserne i denne forordning:
at udveksle bedste praksis og oplysninger om gennemførelsen af bestemmelserne i denne forordning
at vurdere den relevante udvikling inden for europæisk digital identitetstegnebog, elektronisk identifikation og tillidstjenester
at tilrettelægge fælles møder med relevante interessenter fra hele Unionen for at drøfte aktiviteter, der gennemføres af samarbejdsgruppen, og indsamle input om nye politiske udfordringer
med støtte fra ENISA at udveksle synspunkter, bedste praksis og oplysninger om relevante cybersikkerhedsaspekter vedrørende europæiske digitale identitetstegnebøger, elektroniske identifikationsordninger og tillidstjenester
at udveksle bedste praksis vedrørende udvikling og gennemførelse af politikker for anmeldelsen af sikkerhedsbrud og fælles foranstaltninger som omhandlet i artikel 5e og 10
at tilrettelægge fælles møder med NIS-samarbejdsgruppen, der er nedsat i medfør af artikel 14, stk. 1, i direktiv (EU) 2022/2555, for at udveksle relevante oplysninger vedrørende tillidstjenester og elektronisk identifikation og dertil relaterede cybertrusler, hændelser, sårbarheder, bevidstgørelsesinitiativer, uddannelse, øvelser og færdigheder, kapacitetsopbygning, kapaciteter med hensyn til standarder og tekniske specifikationer samt standarder og tekniske specifikationer
efter anmodning fra et tilsynsorgan at drøfte specifikke anmodninger om gensidig bistand som omhandlet i artikel 46d
at lette udvekslingen af oplysninger mellem tilsynsorganerne ved at give vejledning om de organisatoriske aspekter og procedurer for den gensidige bistand, der er omhandlet i artikel 46d
at tilrettelægge peerevalueringer af elektroniske identifikationsordninger, der skal anmeldes i henhold til denne forordning.
KAPITEL V
DELEGEREDE BEFØJELSER OG GENNEMFØRELSESBESTEMMELSER
Artikel 47
Udøvelse af de delegerede beføjelser
Artikel 48
Udvalgsprocedure
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
Artikel 48a
Rapporteringskrav
De statistikker, der indsamles i overensstemmelse med stk. 1, omfatter følgende:
antallet af fysiske og juridiske personer, der har en gyldig europæisk digital identitetstegnebog
typen og antallet af tjenester, der accepterer anvendelse af den europæiske digitale identitetstegnebog
antallet af klager fra brugere og antallet af hændelser vedrørende forbrugerbeskyttelse eller databeskyttelse for så vidt angår modtagerparter og kvalificerede tillidstjenester
en sammenfattende rapport, herunder data om hændelser, som forhindrer anvendelse af den europæiske digitale identitetstegnebog
en sammenfatning af væsentlige sikkerhedshændelser, brud på datasikkerheden og berørte brugere af europæiske digitale identitetstegnebøger eller kvalificerede tillidstjenester.
Artikel 49
Revision
Artikel 50
Ophævelse
Artikel 51
Overgangsforanstaltninger
Artikel 52
Ikrafttræden
Denne forordning anvendes fra den 1. juli 2016, bortset fra følgende bestemmelser:
artikel 8, stk. 3, artikel 9, stk. 5, artikel 12, stk. 2-9, artikel 17, stk. 8, artikel 19, stk. 4, artikel 20, stk. 4, artikel 21, stk. 4, artikel 22, stk. 5, artikel 23, stk. 3, artikel 24, stk. 5, artikel 27, stk. 4 og 5, artikel 28, stk. 6, artikel 29, stk. 2, artikel 30, stk. 3 og 4, artikel 31, stk. 3, artikel 32, stk. 3, artikel 33, stk. 2, artikel 34, stk. 2, artikel 37, stk. 4 og 5, artikel 38, stk. 6, artikel 42, stk. 2, artikel 44, stk. 2, artikel 45, stk. 2, artikel 47 and 48 finder anvendelse fra den 17. september 2014
artikel 7, artikel 8, stk. 1 og 2, artikel 9, 10, 11 og artikel 12, stk. 1, finder anvendelse fra datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter
artikel 6 finder anvendelse fra tre år efter datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
BILAG I
KRAV TIL KVALIFICEREDE CERTIFIKATER FOR ELEKTRONISKE SIGNATURER
Kvalificerede certifikater for elektroniske signaturer skal indeholde:
en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk signatur
et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteudbyder, som udsteder de kvalificerede certifikater, herunder som minimum oplysning om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og
som minimum underskriverens navn eller pseudonym; anvendes der pseudonym, skal dette tydeligt angives
elektroniske signaturvalderingsdata, som svarer til dataene til de elektroniske signaturgenereringsdata
certifikatets ikrafttrædelses- og udløbsdato
certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder
den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl
oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt
oplysninger om det kvalificerede certifikats gyldighedsstatus eller om, hvor de tjenester, hvortil der kan rettes forespørgsel herom, befinder sig
hvis de elektroniske signaturgenereringsdata, der svarer til de elektroniske signaturvalideringsdata, befinder sig i et kvalificeret elektronisk signaturgenereringssystem er: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.
BILAG II
KRAV TIL KVALIFICEREDE ELEKTRONISKE SIGNATURGENERERINGSSYSTEMER
1. Kvalificerede elektroniske signaturgenereringssystemer sikrer ved hjælp af passende tekniske og proceduremæssige midler som minimum, at:
de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, med rimelig sikkerhed forbliver fortrolige
de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, i praksis kun kan forekomme én gang
de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, med rimelig sikkerhed ikke kan udledes, og at den elektroniske signatur på pålidelig vis er beskyttet mod forfalskning under anvendelse af eksisterende teknologi
de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, på pålidelig vis kan beskyttes af den retmæssige underskriver mod andres brug.
2. Kvalificerede elektroniske signaturgenereringssystemer må ikke ændre de data, som skal underskrives, eller hindre, at disse data vises for underskriveren forud for signaturprocessen.
▼M2 —————
BILAG III
KRAV TIL KVALIFICEREDE CERTIFIKATER FOR ELEKTRONISKE SEGL
Kvalificerede certifikater for elektroniske segl skal indeholde:
en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk segl
et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteudbyder, som udsteder de kvalificerede certifikater, herunder som minimum oplysning om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og
som minimum navnet på den forseglende part og, når det er relevant, registreringsnummer, som det fremgår af det officielle register
elektroniske seglvalideringsdata, som svarer tilde elektroniske seglgenereringsdata
certifikatets ikrafttrædelses- og udløbsdato
certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder
den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl
oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt
oplysninger om det kvalificerede certifikats gyldighedsstatus eller om, hvor de tjenester, hvortil der kan rettes forespørgsel herom, befinder sig
hvis de elektroniske seglgenereringsdata, der svarer til de elektroniske seglvalideringsdata, befinder sig i et kvalificeret elektronisk seglgenereringssystem: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.
BILAG IV
KRAV TIL KVALIFICEREDE CERTIFIKATER FOR WEBSTEDSAUTENTIFIKATION
Kvalificerede certifikater for webstedsautentifikation skal indeholde:
en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for webstedsautentifikation
et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteudbyder, som udsteder de kvalificerede certifikater, herunder som minimum oplysning om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og
for fysiske personer: som minimum navnet på den person, som certifikatet er udstedt til, eller et pseudonym; hvis der anvendes et pseudonym, en tydelig angivelse heraf
for juridiske personer: et unikt sæt data, der entydigt repræsenterer den juridiske person, som certifikatet er udstedt til, med som minimum navnet på den juridiske person, som certifikatet er udstedt til, og, når det er relevant, registreringsnummer, som det fremgår af de officielle registre
adresseoplysninger, herunder som minimum oplysninger om by og nationalstat, for den fysiske eller juridiske person, som certifikatet er udstedt til, og, når det er relevant, som de fremgår af det officielle register
domænenavnet på det eller de domæner, der drives af den fysiske eller juridiske person, som certifikatet er udstedt til
certifikatets ikrafttrædelses- og udløbsdato
certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder
den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl
oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra h), er gratis tilgængeligt
oplysninger om det kvalificerede certifikats gyldighedsstatus eller om, hvor de certifikatgyldighedstjenester, hvortil der kan rettes forespørgsel herom, befinder sig.
BILAG V
KRAV TIL KVALIFICERET ATTESTERING AF ATTRIBUTTER
Kvalificeret elektronisk attestering af attributter indeholder:
en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at attesteringen er udstedt som en kvalificeret elektronisk attestering af attributter
et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteudbyder, der udsteder den kvalificerede elektroniske attestering af attributter, herunder som minimum oplysninger om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og
for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af de officielle registre
for en fysisk person: personens navn
et sæt data, der entydigt repræsenterer den enhed, som de attesterede attributter henviser til; hvis der anvendes et pseudonym, en tydelig angivelse heraf
den attesterede attribut eller de attesterede attributter, herunder, hvis det er relevant, de oplysninger, der er nødvendige for at bestemme attributternes omfang
oplysninger om attesteringens ikrafttrædelses- og udløbsdato
attesteringens identifikationskode, som skal være entydig for den kvalificerede tillidstjenesteudbyder, og, hvis det er relevant, attesteringsordningen, som attesteringen af attributter er en del af
den udstedende kvalificerede tillidstjenesteudbyders kvalificerede elektroniske signatur eller kvalificerede elektroniske segl
oplysninger om, hvor certifikatet for den kvalificerede elektroniske signatur eller det kvalificerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt
oplysninger om den kvalificerede attesterings gyldighedsstatus eller om, hvor de tjenester, hvortil der kan rettes forespørgsel herom, befinder sig.
BILAG VI
MINIMUMSLISTE OVER ATTRIBUTTER
I medfør af artikel 45e sikrer medlemsstaterne, at der træffes foranstaltninger til at gøre det muligt for kvalificerede tillidstjenesteudbydere af elektroniske attesteringer af attributter ved hjælp af elektroniske midler efter anmodning fra brugeren at kontrollere autenticiteten af følgende attributter i forhold til de relevante autentiske kilder på nationalt plan eller via udpegede mellemmænd, der er anerkendte på nationalt plan, i overensstemmelse med EU-retten eller national ret og hvor disse attributter er afhængige af autentiske kilder i den offentlige sektor:
adresse
alder
køn
civilstand
familiesammensætning
nationalitet eller statsborgerskab
uddannelsesmæssige kvalifikationer, titler og licenser
erhvervsmæssige kvalifikationer, titler og licenser
beføjelser og mandater til at repræsentere fysiske eller juridiske personer
offentlige tilladelser og licenser
for juridiske personer, finansielle data og virksomhedsoplysninger.
BILAG VII
KRAV TIL ELEKTRONISK ATTESTERING AF ATTRIBUTTER, DER ER UDSTEDT AF ELLER PÅ VEGNE AF EN OFFENTLIG MYNDIGHED MED ANSVAR FOR EN AUTENTISK KILDE
En elektronisk attestering af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, skal indeholde:
en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at attesteringen er udstedt som en elektronisk attestering af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde
et sæt data, der entydigt repræsenterer den offentlige myndighed, der udsteder den elektroniske attestering af attributter, herunder som minimum oplysninger om, hvilken medlemsstat den pågældende offentlige myndighed er hjemmehørende i, og dens navn og, hvis det er relevant, registreringsnummer, som det fremgår af de officielle registre
et sæt data, der entydigt repræsenterer den enhed, som de attesterede attributter henviser til; hvis der anvendes et pseudonym, en tydelig angivelse heraf
den attesterede attribut eller de attesterede attributter, herunder, hvis det er relevant, de oplysninger, der er nødvendige for at bestemme attributternes omfang
oplysninger om attesteringens ikrafttrædelses- og udløbsdato
attesteringens identifikationskode, som skal være entydig for den udstedende offentlige myndighed, og, hvis det er relevant, en angivelse af den attesteringsordning, som attesteringen af attributter er en del af
den udstedende myndigheds kvalificerede elektroniske signatur eller kvalificerede elektroniske segl
oplysninger om, hvor certifikatet for den kvalificerede elektroniske signatur eller det kvalificerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt
oplysninger om attesteringens gyldighedsstatus eller om, hvor de tjenester, hvortil der kan rettes forespørgsel herom, befinder sig.
( 1 ) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
( 2 ) Europa-Parlamentets og Rådets direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (EUT L 94 af 28.3.2014, s. 65).
( 3 ) Europa-Parlamentets og Rådets direktiv (EU) 2019/882 af 17. april 2019 om tilgængelighedskrav for produkter og tjenester (EUT L 151 af 7.6.2019, s. 70).
( 4 ) Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).
( 5 ) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).
( 6 ) Europa-Parlamentets og Rådets forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked for digitale tjenester og om ændring af direktiv 2000/31/EF (forordning om digitale tjenester) (EUT L 277 af 27.10.2022, s. 1).
( 7 ) Europa-Parlamentets og Rådets forordning (EU) 2022/1925 af 14. september 2022 om åbne og fair markeder i den digitale sektor og om ændring af direktiv (EU) 2019/1937 og (EU) 2020/1828 (forordningen om digitale markeder) (EUT L 265 af 12.10.2022, s. 1).
( 8 ) Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80).