(1)

Komisija 2020. gada 19. februāra paziņojumā “Eiropas digitālās nākotnes veidošana” (4) paziņoja par Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 pārskatīšanu, lai uzlabotu tās efektivitāti, nodrošinātu, ka tās priekšrocības var izmantot arī privātais sektors, un veicinātu uzticamu digitālo identitāti visiem Eiropas iedzīvotājiem.

(2)

Savos 2020. gada 1. un 2. oktobra secinājumos Eiropadome aicināja Komisiju ierosināt izstrādāt Savienības mērogā drošas publiskās elektroniskās identifikācijas, tostarp sadarbspējīgu digitālo parakstu, regulējumu, lai iedzīvotāji varētu kontrolēt savu tiešsaistes identitāti un datus, kā arī piekļūt publiskiem, privātiem un pārrobežu digitālajiem pakalpojumiem.

(3)

Ar Eiropas Parlamenta un Padomes Lēmumu (ES) 2022/2481 (5) izveidotā politikas programma “Digitālās desmitgades ceļš” 2030. gadam izvirza Savienības satvara mērķus un digitālos mērķrādītājus, ar kuriem līdz 2030. gadam iecerēts panākt, ka tiek plaši izvērsta uzticama, brīvprātīga, lietotāja kontrolēta digitālā identitāte, kuru atzīst visā Savienībā un kura ļauj ikvienam lietotājam kontrolēt savus datus tiešsaistes mijiedarbībā.

(4)

Eiropas Parlamenta, Padomes un Komisijas pasludinātā “Eiropas deklarācija par digitālajām tiesībām un principiem digitālajai desmitgadei” (6) (“deklarācija”) uzsver ikviena tiesības uz piekļuvi digitālām tehnoloģijām, produktiem un pakalpojumiem, kas pēc būtības ir droši, aizsargāti un privātumu aizsargājoši. Tas ietver arī to, ka visiem Savienības iedzīvotājiem tiek piedāvāta pieejama, droša un uzticama digitālā identitāte, kas dod iespēju piekļūt plašam tiešsaistes un bezsaistes pakalpojumu klāstam, kuri ir aizsargāti pret jebkādiem kiberdrošības riskiem un kibernoziegumiem, tai skaitā identitātes zādzību vai manipulācijām. Deklarācijā arī ir norādīts, ka ikvienam ir tiesības uz savu personas datu aizsardzību. Minētās tiesības aptver kontroli pār to, kā dati tiek izmantoti un ar ko tie tiek kopīgoti.

(5)

Savienības pilsoņiem un pastāvīgajiem iedzīvotājiem Savienībā vajadzētu būt tiesībām uz digitālo identitāti, kas ir viņu ekskluzīvā kontrolē un kas ļauj viņiem izmantot savas tiesības digitālajā vidē un piedalīties digitālajā ekonomikā. Lai sasniegtu minēto mērķi, būtu jāizveido Eiropas digitālās identitātes satvars, kas ļauj Savienības pilsoņiem un pastāvīgajiem iedzīvotājiem Savienībā piekļūt publiskiem un privātiem tiešsaistes un bezsaistes pakalpojumiem visā Savienībā.

(6)

Saskaņotam digitālās identitātes satvaram būtu jāpalīdz izveidot digitāli integrētāku Savienību, samazinot digitālos šķēršļus starp dalībvalstīm un dodot Savienības pilsoņiem un pastāvīgajiem iedzīvotājiem Savienībā iespēju izmantot digitalizācijas sniegtās priekšrocības, vienlaikus palielinot pārredzamību un viņu tiesību aizsardzību.

(7)

Saskaņotākai pieejai elektroniskai identifikācijai būtu jāsamazina pašreizējās sadrumstalotības riski un izmaksas, ko rada atšķirīgu valsts risinājumu lietošana vai dažās dalībvalstīs – šādu elektroniskās identifikācijas risinājumu trūkums. Šādai pieejai būtu jāstiprina iekšējais tirgus, ļaujot Savienības pilsoņiem, pastāvīgajiem iedzīvotājiem Savienībā, kas definēti valsts tiesību aktos, un uzņēmumiem identificēties un sniegt savas identitātes autentifikāciju tiešsaistē un bezsaistē drošā, uzticamā, lietotājdraudzīgā, ērtā, pieejamā un saskaņotā veidā visā Savienībā. Eiropas digitālās identitātes makam būtu fiziskām un juridiskām personām visā Savienībā jānodrošina saskaņoti elektroniskās identifikācijas līdzekļi, kas iespējo autentifikācijas veikšanu un ar viņu identitāti saistītu datu kopīgošanu. Ikvienam vajadzētu būt iespējai piekļūt publiskiem un privātiem pakalpojumiem drošā veidā, paļaujoties uz uzlabotu uzticamības pakalpojumu ekosistēmu un verificētiem identitātes pierādījumiem un elektroniskiem atribūtu apliecinājumiem, piemēram, akadēmisko kvalifikāciju, tostarp akadēmisko grādu, vai citu izglītības vai profesionālo statusu, apliecinājumiem. Ar Eiropas digitālās identitātes satvaru iecerēts panākt pāreju no paļaušanās vienīgi uz valstu digitālās identitātes risinājumiem uz tādu atribūtu elektronisko apliecinājumu sniegšanu, kas ir derīgi un juridiski atzīti visā Savienībā. Skaidram un vienotam noteikumu kopumam vajadzētu nest labumu atribūtu elektronisku apliecinājumu sniedzējiem, savukārt valsts iestādēm vajadzētu spēt paļauties uz elektroniskiem dokumentiem attiecīgā formātā.

(8)

Vairākas dalībvalstis ir ieviesušas un izmanto elektroniskās identifikācijas līdzekļus, kurus pieņem pakalpojumu sniedzēji Savienībā. Turklāt ir veikti ieguldījumi gan valsts, gan pārrobežu risinājumos, pamatojoties uz Regulu (ES) Nr. 910/2014, tostarp paziņoto elektroniskās identifikācijas shēmu sadarbspējā, ievērojot minēto regulu. Lai nodrošinātu Eiropas digitālās identitātes maku papildināmību un pašreizējie paziņoto elektroniskās identifikācijas līdzekļu lietotāji tos ātri pieņemtu, un lai līdz minimumam samazinātu ietekmi uz esošajiem pakalpojumu sniedzējiem, paredzams, ka Eiropas digitālās identitātes makos balstīsies uz pieredzi, kas gūta ar esošajiem elektroniskās identifikācijas līdzekļiem, un Savienības un valstu līmenī izvērstu paziņotu elektroniskās identifikācijas shēmu infrastruktūru.

(9)

Visām Regulā (ES) Nr. 910/2014 paredzētajām personas datu apstrādes darbībām piemēro Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (7) un, attiecīgā gadījumā, Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (8). Minētajiem noteikumiem atbilst arī risinājumi, kas noteikti šajā regulā paredzētajā sadarbspējas regulējumā. Savienības datu aizsardzības tiesības paredz datu aizsardzības principus, piemēram, datu minimizēšanas un mērķa ierobežošanas principu, un pienākumus, piemēram, integrētu datu aizsardzību pēc būtības un datu aizsardzību pēc noklusējuma.

(10)

Lai atbalstītu Savienības uzņēmumu konkurētspēju, gan tiešsaistes, gan bezsaistes pakalpojumu sniedzējiem vajadzētu būt iespējai paļauties uz digitālās identitātes risinājumiem, kas atzīti visā Savienībā, neatkarīgi no dalībvalsts, kurā minētie risinājumi tiek nodrošināti, tādējādi gūstot labumu no Savienības saskaņotas pieejas uzticamībai, drošībai un sadarbspējai. Gan lietotājiem, gan pakalpojumu sniedzējiem vajadzētu būt iespējai gūt labumu no tāda paša juridiskā spēka, kas visā Savienībā ir paredzēts elektroniskiem atribūtu apliecinājumiem. Iecerēts, ka saskaņots digitālās identitātes satvars radīs ekonomisko vērtību, atvieglojot piekļuvi precēm un pakalpojumiem un būtiski samazinot darbību izmaksas, kas saistītas ar identifikācijas un autentifikācijas procedūrām, piemēram, jaunu klientu pievienošanas laikā, samazinot tādu kibernoziegumu iespējamību kā identitātes zādzība, datu zādzība un krāpšana tiešsaistē, un tādējādi veicinot efektivitātes ieguvumus un drošu Savienības mikrouzņēmumu un mazo un vidējo uzņēmumu (MVU) digitālo pārveidi.

(11)

Digitālās identitātes Eiropas makiem būtu jāsekmē vienreizējas iesniegšanas principa izmantošana, tādējādi mazinot administratīvo slogu Savienības pilsoņiem un pastāvīgajiem iedzīvotājiem Savienībā un uzņēmumiem visā Savienībā un atbalstot to pārrobežu mobilitāti, un veicinot sadarbspējīgu e-pārvaldes pakalpojumu attīstību visā Savienībā.

(12)

Personas datu apstrādei, ko veic šīs regulas īstenošanā, piemēro Regulu (ES) 2016/679, Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725 (9) un Direktīvu 2002/58/EK. Tāpēc šajā regulā būtu jāparedz konkrēti aizsardzības pasākumi, lai nepieļautu to, ka elektroniskās identifikācijas līdzekļu un elektronisko atribūtu apliecinājumu sniedzēji apvieno no citiem pakalpojumiem iegūtus personas datus ar personas datiem, kurus apstrādā, lai sniegtu pakalpojumus, uz ko attiecas šī regula. Personas datus, kas attiecas uz Eiropas digitālās identitātes maku nodrošināšanu, būtu jāglabā loģiski nošķirti no visiem citiem datiem, kurus tur Eiropas digitālās identitātes maka nodrošinātājs. Šai regulai nebūtu jāliedz Eiropas digitālās identitātes maku nodrošinātājiem piemērot papildu tehniskos pasākumus, kas veicina personas datu aizsardzību, piemēram, fiziski nošķirt ar Eiropas digitālās identitātes maku nodrošināšanu saistītus personas datus no visiem citiem datiem, kurus tur nodrošinātājs. Neskarot Regulu (ES) 2016/679, šī regula sīkāk precizē mērķa ierobežojuma, datu minimizēšanas principu un integrētas datu aizsardzības pēc būtības un datu aizsardzības pēc noklusējuma piemērošanu.

(13)

Digitālās identitātes Eiropas makos vajadzētu būt iestrādātai kopīga infopaneļa funkcijai, lai nodrošinātu lielāku pārredzamību, privātumu un lietotāju kontroli pār saviem personas datiem. Minētajai funkcijai būtu jānodrošina vienkārša un lietotājdraudzīga saskarne ar pārskatu par visām atkarīgajām pusēm, ar kurām lietotājs kopīgo datus, tai skaitā atribūtus, un par to datu veidiem, kuri kopīgoti ar katru atkarīgo pusi. Tai būtu jādod lietotājiem iespēja izsekot visus darījumus, kas veikti ar Eiropas digitālās identitātes maka starpniecību, ar vismaz šādiem datiem: darījuma laiks un datums, darījuma partnera identifikācija, pieprasītie personas dati un kopīgotie dati. Minētā informācija būtu jāglabā pat tad, ja darījums nav noslēgts. Nevajadzētu būt iespējamam noliegt darījuma vēsturē ietvertās informācijas autentiskumu. Šādai funkcijai vajadzētu būt aktīvai pēc noklusējuma. Tai būtu jāļauj lietotājiem tieši no digitālās identitātes Eiropas maka vienkāršā veidā pieprasīt atkarīgajai pusei nekavējoties dzēst personas datus, ievērojot Regulas (ES) 2016/679 17. pantu, un vienkāršā veidā ziņot par atkarīgo pusi kompetentajai valsts datu aizsardzības iestādei, ja ir saņemts iespējami nelikumīgs vai aizdomīgs personas datu pieprasījums.

(14)

Dalībvalstīm būtu Eiropas digitālās identitātes makā jāintegrē dažādas privātuma saglabāšanas tehnoloģijas, piemēram, patiesuma apliecinājums bez informācijas izpaušanas (zero knowledge proof). Minētajām kriptogrāfijas metodēm būtu jādod iespēja atkarīgajai pusei validēt to, vai konkrēts paziņojums, kas balstīts uz personas identifikācijas datiem un atribūtu apliecinājumu, ir patiess, neatklājot nekādus datus, uz kuriem minētais paziņojums ir balstīts, tādējādi saglabājot lietotāja privātumu.

(15)

Šī regula paredz saskaņotus nosacījumus to Eiropas digitālās identitātes maku satvara izveidei, kurus nodrošinās dalībvalstis. Visiem Savienības pilsoņiem un pastāvīgajiem iedzīvotājiem Savienībā, kas definēti valstu tiesību aktos, būtu jādod iespēja lietotājdraudzīgā, ērtā veidā, lietotāja ekskluzīvā kontrolē, droši pieprasīt, atlasīt, apvienot, glabāt, dzēst, kopīgot un uzrādīt datus, kas saistīti ar viņu identitāti, un pieprasīt dzēst viņu personas datus, iespējojot selektīvu personas datu izpaušanu. Šī regula atspoguļo kopīgās Eiropas vērtības un tajā ievērotas pamattiesības, tiesiskās garantijas un atbildība, tādējādi aizsargājot demokrātisko sabiedrību un Savienības pilsoņus un pastāvīgos iedzīvotājus Savienībā. Tehnoloģijas, ko izmanto minēto mērķu sasniegšanai, būtu jāattīsta, virzoties uz augstāko drošības līmeni, privātumu, lietotāju ērtību, piekļūstamību, plašu lietojamību un netraucētu sadarbspēju. Dalībvalstīm visiem saviem pilsoņiem un pastāvīgajiem iedzīvotājiem būtu jānodrošina vienlīdzīga piekļuve digitālajai identifikācijai. Dalībvalstīm nebūtu tieši vai netieši jāierobežo tādu fizisku vai juridisku personu piekļuve publiskiem un privātiem pakalpojumiem, kuras neizmanto Eiropas digitālās identitātes makus, un būtu jādara pieejami piemēroti alternatīvi risinājumi.

(16)

Dalībvalstīm būtu jāpaļaujas uz šīs regulas piedāvātajām iespējām savā atbildībā nodrošināt Eiropas digitālās identitātes makus, ko izmanto fiziskas un juridiskas personas, kas dzīvo vai atrodas to teritorijā. Lai dalībvalstīm piedāvātu elastīgumu un izmantotu modernāko tehnoloģiju, šai regulai būtu jārada iespēja, ka Eiropas digitālās identitātes makus nodrošina tieši dalībvalsts pēc dalībvalsts pilnvarojuma vai neatkarīgi no dalībvalsts, bet tā, ka minētā dalībvalsts tos atzīst.

(17)

Reģistrācijas nolūkos atkarīgajām pusēm būtu jāsniedz informācija, kas vajadzīga, lai varētu veikt to elektronisku identifikāciju un autentifikāciju Eiropas digitālās identitātes maku vajadzībām. Deklarējot savu iecerēto Eiropas digitālās identitātes maka lietošanu, atkarīgajām pusēm būtu jāsniedz informācija par datiem, kurus tās pieprasīs – ja tādus pieprasīs –, lai sniegtu savus pakalpojumus, un pieprasīšanas pamatojums. Atkarīgās puses reģistrācija atvieglo dalībvalstu veikto verifikāciju attiecībā uz atkarīgo pušu darbību likumību saskaņā ar Savienības tiesību aktiem. Šajā regulā paredzētajam reģistrācijas pienākumam nevajadzētu skart citos Savienības vai valsts tiesību aktos noteiktos pienākumus, piemēram, informāciju, kas datu subjektiem jāsniedz, ievērojot Regulu (ES) 2016/679. Atkarīgajām pusēm būtu jānodrošina atbilstība minētās regulas 35. un 36. pantā paredzētajām garantijām, jo īpaši veicot novērtējumus par ietekmi uz datu aizsardzību un pirms datu apstrādes apspriežoties ar kompetentajām datu aizsardzības iestādēm, ja novērtējumi par ietekmi uz datu aizsardzību liecina, ka apstrāde radītu augstu risku. Šādām garantijām būtu jāatbalsta likumīga personas datu apstrāde, ko veic atkarīgās puses, jo īpaši attiecībā uz īpašām datu kategorijām, piemēram, veselības datiem. Ar atkarīgo pušu reģistrāciju ir iecerēts uzlabot pārredzamību un uzticēšanos Eiropas digitālās identitātes maku lietošanai. Reģistrācijai vajadzētu būt izmaksu ziņā lietderīgai un samērīgai ar saistītajiem riskiem, lai panāktu, ka pakalpojumu sniedzēji to ievieš. Minētajā sakarībā reģistrācijai būtu jāparedz automatizētu procedūru izmantošana, tostarp dalībvalstu paļaušanās uz esošajiem reģistriem un to izmantošana, un tai nevajadzētu radīt pirmsautorizācijas procesu. Reģistrācijas procesam vajadzētu iespējot dažādus lietošanas gadījumus, kas var būt atšķirīgi attiecībā uz darbības režīmu, tiešsaistē vai bezsaistē, vai attiecībā uz prasību autentificēt ierīces saskarnei ar Eiropas digitālās identitātes maku. Reģistrācija būtu jāpiemēro tikai atkarīgajām pusēm, kas sniedz pakalpojumus, izmantojot digitālu mijiedarbību.

(18)

Savienības pilsoņu un Savienībā esošo iedzīvotāju aizsardzība pret neatļautu vai krāpniecisku Eiropas digitālās identitātes maku izmantošanu ir ļoti svarīga, lai panāktu uzticēšanos Eiropas digitālās identitātes makiem un tos plaši ieviestu. Lietotājiem būtu jānodrošina efektīva aizsardzība pret šādu ļaunprātīgu izmantošanu. Jo īpaši, ja faktus, kas ir pamatā krāpnieciskai vai citādi nelikumīgai Eiropas digitālās identitātes maka izmantošanai, valsts tiesu iestāde konstatē citā procedūrā, uzraudzības struktūrām, kas ir atbildīgas par Eiropas digitālās identitātes maka izdevējiem, pēc paziņošanas būtu jāveic vajadzīgie pasākumi, lai nodrošinātu, ka atkarīgās puses reģistrācija un atkarīgo pušu iekļaušana autentifikācijas mehānismā tiek atsaukta vai apturēta līdz brīdim, kad paziņojošā iestāde apstiprina, ka konstatētie pārkāpumi ir novērsti.

(19)

Visiem Eiropas digitālās identitātes makiem būtu jādod iespēja lietotājiem elektroniski identificēties un autentificēties tiešsaistē un bezsaistes režīmā pāri robežām, lai piekļūtu plašam publisku un privātu pakalpojumu klāstam. Neskarot dalībvalstu prerogatīvas attiecībā uz savu pilsoņu un pastāvīgo iedzīvotāju identifikāciju, Eiropas digitālās identitātes makus var izmantot arī valstu iestāžu, starptautisku organizāciju un Savienības iestāžu, struktūru, biroju un aģentūru institucionālajām vajadzībām. Autentifikācija bezsaistes režīmā būtu svarīga daudzās nozarēs, tostarp veselības aprūpes nozarē, kur pakalpojumus bieži sniedz, mijiedarbojoties klātienē, un vajadzētu būt iespējai e-receptēm izmantot QR kodus vai līdzīgas tehnoloģijas, lai verificētu autentiskumu. Lai izpildītu šajā regulā noteiktās drošības prasības, Eiropas digitālās identitātes makiem, kuriem attiecībā uz elektroniskās identifikācijas shēmām ir atsauce uz uzticamības līmeni “augsts”, būtu jāizmanto potenciāls, ko piedāvā tādi pret viltojumiem droši risinājumi kā aizsardzības elementi. Eiropas digitālās identitātes makiem būtu arī jāļauj lietotājiem izveidot un izmantot kvalificētus elektroniskos parakstus un zīmogus, kas tiek pieņemti visā Savienībā. Tiklīdz fiziskas personas ir pievienotas Eiropas digitālās identitātes makam, tām vajadzētu būt iespējai to lietot, lai pēc noklusējuma un bez maksas parakstītu ar kvalificētiem elektroniskajiem parakstiem, neveicot nekādas papildu administratīvās procedūras. Lietotājiem būtu jāvar parakstīt vai apzīmogot pašpasludinātus apgalvojumus vai atribūtus. Lai panāktu, ka personas un uzņēmumi visā Savienībā varētu gūt labumu no vienkāršošanas un izmaksu samazināšanas, tostarp, iespējojot pārstāvības pilnvaras un e-pilnvaras, dalībvalstīm būtu jānodrošina Eiropas digitālās identitātes maki, kas paļaujas uz kopīgiem standartiem un tehniskajām specifikācijām, lai nodrošinātu netraucētu sadarbspēju un pienācīgi paaugstinātu IT drošības līmeni, stiprinātu noturību pret kiberuzbrukumiem un tādējādi ievērojami samazinātu iespējamos riskus, ko Savienības pilsoņiem, pastāvīgajiem iedzīvotājiem Savienībā un uzņēmumiem rada notiekošā digitalizācija. Tikai dalībvalstu kompetentās iestādes var nodrošināt augstu ticamības līmeni personas identitātes noskaidrošanā un tādējādi sniegt pārliecību, ka persona, kas apgalvo vai pauž konkrētu identitāti, patiešām ir tā persona, par kuru tā uzdodas. Tāpēc Eiropas digitālās identitātes maku nodrošināšanas pamatā ir jābūt Savienības pilsoņu, Savienības pastāvīgo iedzīvotāju vai juridisko personu juridiskajai identitātei. Tam, ka pamatā ir juridiskā identitāte, nevajadzētu traucēt Eiropas digitālās identitātes maka lietotājiem piekļūt pakalpojumiem, izmantojot pseidonīmus, ja nav juridiskas prasības, ka autentifikācijai ir vajadzīga juridiska identitāte. Uzticēšanās Eiropas digitālās identitātes makiem tiktu vairota, ja to izdevējiem un pārvaldītājiem prasītu īstenot atbilstošus tehniskos un organizatoriskos pasākumus, kas garantē visaugstāko drošības līmeni, kurš ir samērīgs ar riskiem, kas tiek radīti fizisku personu tiesībām un brīvībām, saskaņā ar Regulu (ES) 2016/679.

(20)

Kvalificēta elektroniskā paraksta lietošanai vajadzētu būt bez maksas visām fiziskām personām neprofesionālos nolūkos. Dalībvalstīm vajadzētu būt iespējai paredzēt pasākumus, lai novērstu to, ka fiziskas personas bez maksas lieto kvalificētus elektroniskos parakstus profesionālos nolūkos, vienlaikus nodrošinot, ka šādi pasākumi ir samērīgi ar apzinātajiem riskiem un ir pamatoti.

(21)

Ir lietderīgi veicināt Eiropas digitālās identitātes maku ieviešanu un izmantošanu, tos vienmērīgi integrējot publiskā un privātā sektora digitālo pakalpojumu ekosistēmā, kas jau ir īstenota valsts, vietējā vai reģionālajā līmenī. Lai sasniegtu šo mērķi, dalībvalstīm vajadzētu būt iespējai paredzēt juridiskus un organizatoriskus pasākumus, ar ko uzlabo Eiropas digitālās identitātes maku nodrošinātāju elastīgumu un Eiropas digitālās identitātes makiem ļauj nodrošināt vēl citas funkcionalitātes papildus tām, kas paredzētas šajā regulā, tostarp, šim nolūkam uzlabojot sadarbspēju ar esošajiem valsts elektroniskās identifikācijas līdzekļiem. Šādām papildu funkcionalitātēm nekādā gadījumā nevajadzētu nelabvēlīgi ietekmēt šajā regulā paredzēto Eiropas digitālās identitātes maku pamatfunkciju nodrošināšanu, nedz arī veicināt esošo valsts risinājumu izmantošanu Eiropas digitālās identitātes maku vietā. Tā kā šādas papildu funkcionalitātes pārsniedz šīs regulas tvērumu, tās negūst labumu no šajā regulā paredzētajiem noteikumiem par Eiropas digitālās identitātes maku izmantošanu pāri robežām.

(22)

Eiropas digitālās identitātes makos būtu jāiekļauj funkcionalitāte, kas ģenerē lietotāju izvēlētus un pārvaldītus pseidonīmus, lai autentificētos, piekļūstot tiešsaistes pakalpojumiem.

(23)

Lai sasniegtu augstu drošības un uzticamības līmeni, šajā regulā ir noteiktas prasības Eiropas digitālās identitātes makiem. Eiropas digitālās identitātes maku atbilstība minētajām prasībām būtu jāsertificē akreditētām atbilstības novērtēšanas struktūrām, ko izraudzījušās dalībvalstis.

(24)

Lai izvairītos no atšķirīgām pieejām un saskaņotu šajā regulā noteikto prasību īstenošanu, Komisijai nolūkā sertificēt Eiropas digitālās identitātes makus būtu jāpieņem īstenošanas akti, lai noteiktu atsauces standartu sarakstu, un, ja nepieciešams, izstrādātu specifikācijas un procedūras ar mērķi formulēt detalizētas minēto prasību tehniskās specifikācijas. Ciktāl Eiropas digitālās identitātes maku atbilstības attiecīgajām kiberdrošības prasībām sertifikāciju neaptver esošās kiberdrošības sertifikācijas shēmas, kas minētas šajā regulā, un attiecībā uz ar kiberdrošību nesaistītām prasībām, kas attiecas uz Eiropas digitālās identitātes makiem, dalībvalstīm būtu jāizveido valsts sertifikācijas shēmas, ievērojot saskaņotas prasības, kas paredzētas šajā regulā un pieņemtas, ievērojot to. Dalībvalstīm savi valstu sertifikācijas shēmu projekti būtu jānosūta Eiropas Digitālās identitātes sadarbības grupai, kurai vajadzētu būt iespējai sniegt atzinumus un ieteikumus.

(25)

Sertifikācijas par atbilstību šajā regulā noteiktajām kiberdrošības prasībām pamatā vajadzētu būt attiecīgās Eiropas kiberdrošības sertifikācijas shēmām, ja tādas pieejamas, kuras izveidotas, ievērojot Eiropas Parlamenta un Padomes Regulu (ES) 2019/881 (10), kas izveido brīvprātīgu Eiropas kiberdrošības sertifikācijas satvaru IKT produktiem, procesiem un pakalpojumiem.

(26)

Lai pastāvīgi novērtētu un mazinātu ar drošību saistītus riskus, attiecībā uz sertificētiem Eiropas digitālās identitātes makiem būtu jāveic regulāri ievainojamības novērtējumi, kuru mērķis ir atklāt jebkādu ievainojamību ar sertificētiem produktiem, procesiem un pakalpojumiem saistītos Eiropas digitālās identitātes maka komponentos.

(27)

Aizsargājot lietotājus un uzņēmumus no kiberdrošības riskiem, šajā regulā noteiktās kiberdrošības pamatprasības arī palīdz uzlabot personas datu un indivīdu privātuma aizsardzību. Būtu jāapsver sinerģija gan standartizācijas, gan sertifikācijas jomā attiecībā uz kiberdrošības aspektiem, kurā izmantotu sadarbību starp Komisiju, Eiropas standartizācijas organizācijām, Eiropas Savienības Kiberdrošības aģentūru (ENISA), ar Regulu (ES) 2016/679 izveidoto Eiropas Datu aizsardzības kolēģiju un valstu datu aizsardzības uzraudzības iestādēm.

(28)

Savienības pilsoņu un Savienības pastāvīgo iedzīvotāju pievienošana Eiropas digitālās identitātes makiem būtu jāatvieglo, izmantojot elektroniskās identifikācijas līdzekļus, kas izdoti ar uzticamības līmeni “augsts”. Elektroniskās identifikācijas līdzekļi, kas izdoti ar uzticamības līmeni “būtisks”, būtu jāizmanto vienīgi tad, ja saskaņotas tehniskās specifikācijas un procedūras, kurās izmanto elektroniskās identifikācijas līdzekļus, kas izdoti ar uzticamības līmeni “būtisks”, kopā ar citiem papildu identitātes verifikācijas līdzekļiem ļaus izpildīt šajā regulā izklāstītās prasības attiecībā uz ar uzticamības līmeni “augsts”. Šādiem papildu līdzekļiem vai pasākumiem vajadzētu būt uzticamiem un viegli lietojamiem, un to pamatā varētu būt iespēja izmantot attālinātas pievienošanas procedūras, kvalificētus sertifikātus, kas apliecināti ar kvalificētiem elektroniskajiem parakstiem, kvalificētus elektroniskos atribūtu apliecinājumus vai to kombināciju. Lai nodrošinātu, ka Eiropas digitālās identitātes maki tiek pietiekami ieviesti, īstenošanas aktos būtu jāparedz harmonizētas tehniskās specifikācijas un procedūras lietotāju pievienošanai ar elektroniskās identifikācijas līdzekļiem, tostarp tādiem, kas izdoti ar uzticamības līmeni “būtisks”.

(29)

Šīs regulas mērķis ir lietotājam nodrošināt pilnībā mobilu, drošu un lietotājdraudzīgu Eiropas digitālās identitātes maku. Kā pārejas pasākumu, līdz būs pieejami sertificēti, pret viltojumiem droši risinājumi, piemēram, aizsardzības elementi lietotāju ierīcēs, Eiropas digitālās identitātes makiem būtu jāvar izmantot sertificētus ārējos aizsardzības elementus, lai aizsargātu kriptogrāfijas materiālus un citus sensitīvus datus, vai izmantot paziņotus elektroniskās identifikācijas līdzekļus ar uzticamības līmeni “augsts”, lai apliecinātu atbilstību šīs regulas prasībām attiecībā uz Eiropas digitālās identitātes maka uzticamības līmeni. Šai regulai nebūtu jāskar valstu nosacījumi attiecībā uz sertificēta ārēja aizsardzības elementa izdošanu un izmantošanu gadījumā, ja pārejas pasākums ir no tā atkarīgs.

(30)

Eiropas digitālās identitātes makiem būtu jāgarantē augstākais datu aizsardzības un drošības līmenis elektroniskās identifikācijas un autentifikācijas nolūkos, lai atvieglotu piekļuvi publiskiem un privātiem pakalpojumiem, neatkarīgi no tā, vai šādi dati tiek glabāti lokāli vai mākoņdatošanas risinājumos, pienācīgi ņemot vērā dažādos riska līmeņus.

(31)

Eiropas digitālās identitātes makiem vajadzētu būt integrētā veidā drošiem un tiem būtu jāīsteno uzlaboti drošības elementi, kas aizsargā pret identitātes un citu datu zādzību, pakalpojuma atteikumu un jebkādiem citiem kiberdraudiem. Šādai drošībai būtu jāietver vismodernākās šifrēšanas un glabāšanas metodes, kurām piekļūt un kuras atšifrēt var vienīgi lietotājs, un tajā būtu jāizmanto pilnīgi šifrēti sakari ar citiem Eiropas digitālās identitātes makiem un atkarīgajām pusēm. Turklāt Eiropas digitālās identitātes makiem būtu jāpieprasa drošs, nepārprotams un aktīvs lietotāju apstiprinājums operācijām, kuras veic, izmantojot Eiropas digitālās identitātes makus.

(32)

Eiropas digitālās identitātes makulietošanai bez maksas nevajadzētu novest pie datu apstrādes, kas pārsniedz tos datus, kas ir nepieciešami Eiropas digitālās identitātes maka pakalpojumu sniegšanai. Šai regulai nebūtu jāatļauj tādu personas datu apstrāde, kuri glabājas Eiropas digitālās identitātes makā vai izriet no tā, ka Eiropas digitālās identitātes maka nodrošinātājs Eiropas digitālās identitātes maku izmanto citiem nolūkiem nekā Eiropas digitālās identitātes maka pakalpojumu sniegšana. Lai nodrošinātu privātumu, Eiropas digitālās identitātes maka nodrošinātājiem, nevācot datus un negūstot ieskatu par Eiropas digitālās identitātes maka lietotāju darījumiem, būtu jānodrošina neiespējamība novērot. Šāda neiespējamība novērot nozīmē, ka nodrošinātāji neredz sīkāku informāciju par lietotāja veiktajiem darījumiem. Tomēr konkrētos gadījumos, pamatojoties uz lietotāja iepriekš nepārprotami sniegtu piekrišanu katrā šādā konkrētā gadījumā un pilnīgi saskaņā ar Regulu (ES) 2016/679, Eiropas digitālās identitātes maku nodrošinātājiem varētu atļaut piekļūt informācijai, kas ir nepieciešama konkrēta ar Eiropas digitālās identitātes makiem saistīta pakalpojuma sniegšanai.

(33)

Eiropas digitālās identitātes maku pārredzamība un to nodrošinātāju pārskatatbildība ir būtiski elementi tam, lai radītu sabiedrības uzticēšanos un sekmētu satvara pieņemšanu. Tādēļ Eiropas digitālās identitātes maka darbībai vajadzētu būt pārredzamai un jo īpaši būtu jānodrošina verificējama personas datu apstrāde. Lai to panāktu, dalībvalstīm būtu jāizpauž Eiropas digitālās identitātes maku lietotāja lietojumprogrammatūras komponentu pirmkods, tostarp to, kuri ir saistīti ar personas datu un juridisku personu datu apstrādi. Šā pirmkoda publicēšanai saskaņā ar atvērtā pirmkoda licenci būtu jādod iespēja sabiedrībai, tostarp lietotājiem un izstrādātājiem, izprast tā darbību, veikt koda revīziju un pārskatīšanu. Tas palielinātu lietotāju uzticēšanos ekosistēmai un sekmētu Eiropas digitālās identitātes maku drošību, dodot iespēju ikvienam ziņot par ievainojamībām un kļūdām kodā. Kopumā tam būtu jārada stimuls piegādātājiem izstrādāt un uzturēt ļoti drošu produktu. Tomēr atsevišķos gadījumos dalībvalstis, norādot pienācīgi pamatotus iemeslus, jo īpaši sabiedriskās drošības nolūkos, varētu ierobežot pirmkoda izpaušanu izmantotajām bibliotēkām, sakaru kanālam vai citiem elementiem, kas netiek mitināti lietotāja ierīcē.

(34)

Eiropas digitālās identitātes maku izmantošanai, kā arī to izmantošanas pārtraukšanai vajadzētu būt ekskluzīvām lietotāju tiesībām un izvēlei. Dalībvalstīm būtu jāizstrādā vienkāršas un drošas procedūras, kā lietotāji pieprasa tūlītēju Eiropas digitālās identitātes maku derīguma atsaukšanu, tostarp pazaudēšanas vai zādzības gadījumā. Lietotāja nāves gadījumā vai juridiskas personas darbības izbeigšanas gadījumā būtu jāizveido mehānisms, kas ļautu iestādei, kura ir atbildīga par fiziskās personas mantojuma kārtošanu vai juridiskās personas aktīviem, pieprasīt tūlītēju Eiropas digitālās identitātes maka atsaukšanu.

(35)

Lai veicinātu Eiropas digitālās identitātes maku ieviešanu un plašāku digitālo identitāšu izmantošanu, dalībvalstīm būtu ne tikai jāpopularizē attiecīgo pakalpojumu priekšrocības, bet arī sadarbībā ar privāto sektoru, pētniekiem un akadēmiskajām aprindām būtu jāizstrādā mācību programmas ar mērķi stiprināt dalībvalstu pilsoņu un pastāvīgo iedzīvotāju digitālās prasmes, jo īpaši attiecībā uz neaizsargātām grupām, piemēram, personām ar invaliditāti un vecāka gadagājuma cilvēkiem. Dalībvalstīm, veicot komunikācijas kampaņas, arī būtu jāpalielina informētība par Eiropas digitālās identitātes maku priekšrocībām un riskiem.

(36)

Lai nodrošinātu Eiropas digitālās identitātes satvara pieejamību inovācijām, tehnoloģiju attīstībai un atbilst nākotnes prasībām, dalībvalstis tiek mudinātas kopīgi izveidot “smilškastes”, lai kontrolētā un drošā vidē testētu novatoriskus risinājumus, jo īpaši, lai uzlabotu risinājumu funkcionalitāti, personas datu aizsardzību, drošību un sadarbspēju un informētu par turpmākiem tehnisko atsauču un juridisko prasību atjauninājumiem. Minētajai videi būtu jāveicina MVU, jaunuzņēmumu un individuālu novatoru un pētnieku, kā arī attiecīgo nozares ieinteresēto personu iekļaušana. Šādām iniciatīvām būtu jāsekmē un jāstiprina Eiropas digitālās identitātes maku, ko paredzēts nodrošināt Savienības pilsoņiem un pastāvīgajiem iedzīvotājiem Savienībā, atbilstība satvaram un tehniskā noturība, tādējādi nepieļaujot tādu risinājumu izstrādi, kuri neatbilst Savienības tiesību aktiem par datu aizsardzību vai kuros varētu rasties ievainojamības drošības jomā.

(37)

Eiropas Parlamenta un Padomes Regula (ES) 2019/1157 (11) līdz 2021. gada augustam pastiprina personas apliecību drošību ar uzlabotiem drošības elementiem. Dalībvalstīm būtu jāapsver iespēja tās paziņot saskaņā ar elektroniskās identifikācijas shēmām, lai paplašinātu elektroniskās identifikācijas līdzekļu pieejamību pāri robežām.

(38)

Elektroniskās identifikācijas shēmu paziņošanas process būtu jāvienkāršo un jāpaātrina, lai veicinātu piekļuvi ērtiem, uzticamiem, drošiem un novatoriskiem autentifikācijas un identifikācijas risinājumiem un attiecīgā gadījumā mudinātu privātus identitātes nodrošinātājus piedāvāt elektroniskās identifikācijas shēmas dalībvalstu iestādēm, lai par tām paziņotu kā par valsts elektroniskās identifikācijas shēmām atbilstoši Regulai (ES) Nr. 910/2014.

(39)

Pašreizējo paziņošanas un mācīšanās no līdzbiedriem procedūru racionalizēšana novērsīs dažādas pieejas dažādu paziņoto elektroniskās identifikācijas shēmu novērtēšanā un veicinās dalībvalstu savstarpējo uzticēšanos. Jauni, vienkāršoti mehānismi paredzēti, lai veicinātu dalībvalstu sadarbību to paziņoto elektroniskās identifikācijas shēmu drošības un sadarbspējas jomā.

(40)

Dalībvalstīm būtu jāgūst labums no jauniem, elastīgiem rīkiem, ar kuriem nodrošina atbilstību šīs regulas un saskaņā ar to pieņemto attiecīgo īstenošanas aktu prasībām. Šai regulai būtu jāļauj dalībvalstīm izmantot ziņojumus un novērtējumus, ko veikušas akreditētas atbilstības novērtēšanas struktūras, kā paredzēts saistībā ar sertifikācijas shēmām, kas saskaņā ar Regulu (ES) 2019/881 jāizveido Savienības līmenī, lai atbalstītu savas prasības par shēmu vai to daļu saskaņošanu ar regulu (ES) Nr. 910/2014.

(41)

Publisko pakalpojumu sniedzēji izmanto personas identifikācijas datus, kas pieejami no elektroniskajiem identifikācijas līdzekļiem, ievērojot Regulu (ES) Nr. 910/2014, lai saskaņotu citu dalībvalstu lietotāju elektronisko identitāti ar personas identifikācijas datiem, kas minētajiem lietotājiem ir piešķirti dalībvalstī, kura veic pārrobežu identitātes saskaņošanas procesu. Tomēr daudzos gadījumos, neraugoties uz to, ka tiek izmantoti minimuma datu kopumi, kas sniegti paziņoto elektroniskās identifikācijas shēmu ietvaros, lai nodrošinātu pareizu identitātes saskaņošanu tad, kad dalībvalstis rīkojas kā atkarīgās puses, ir vajadzīga papildu informācija par lietotāju un konkrētas papildinošas unikālās identifikācijas procedūras, kas jāveic valstu līmenī. Lai vēl vairāk atbalstītu elektroniskās identifikācijas līdzekļu lietojamību, nodrošinātu labākus publiskos pakalpojumus tiešsaistē un vairotu juridisko noteiktību saistībā ar lietotāju elektronisko identitāti, Regulai (ES) Nr. 910/2014 būtu jāprasa dalībvalstīm veikt konkrētus tiešsaistes pasākumus, lai nodrošinātu nekļūdīgu identitātes saskaņošanu, kad lietotāji ir iecerējuši piekļūt pārrobežu publiskajiem tiešsaistes pakalpojumiem.

(42)

Izstrādājot Eiropas digitālās identitātes makus, ir svarīgi ņemt vērā lietotāju vajadzības. Vajadzētu būt pieejamiem jēgpilnas izmantošanas gadījumiem un tiešsaistes pakalpojumiem, kuros tiek izmantoti Eiropas digitālās identitātes maki. Lietotāju ērtībai un nolūkā nodrošināt šādu pakalpojumu pieejamību pārrobežu mērogā, ir svarīgi veikt darbības, ar kurām tiek sekmēta līdzīga pieeja tiešsaistes pakalpojumu projektēšanā, izstrādē un ieviešanā visās dalībvalstīs. Lai sasniegtu minēto mērķi, par lietderīgu instrumentu var kļūt nesaistošas pamatnostādnes, kā projektēt, izstrādāt un ieviest tiešsaistes pakalpojumus, kuros tiek izmantoti Eiropas digitālās identitātes maki. Šādas pamatnostādnes būtu jāsagatavo, ņemot vērā Savienības sadarbspējas regulējumu. Dalībvalstīm vajadzētu būt vadošai lomai minēto pamatnostādņu pieņemšanā.

(43)

Saskaņā ar Eiropas Parlamenta un Padomes Direktīvu (ES) 2019/882 (12) personām ar invaliditāti būtu jāspēj vienlīdzīgi ar citiem lietotājiem lietot Eiropas digitālās identitātes makus, uzticamības pakalpojumus un tiešo lietotāju produktus, ko izmanto šo pakalpojumu sniegšanā.

(44)

Lai nodrošinātu efektīvu šīs regulas izpildi, būtu jānosaka administratīvo naudas sodu maksimālā apmēra minimums gan kvalificētiem, gan nekvalificētiem uzticamības pakalpojumu sniedzējiem. Dalībvalstīm būtu jāparedz iedarbīgi, samērīgi un atturoši sodi. Nosakot sankcijas, būtu pienācīgi jāņem vērā skarto subjektu lielums, to uzņēmējdarbības modeļi un pārkāpumu smagums.

(45)

Dalībvalstīm būtu jāparedz noteikumi attiecībā uz sankcijām par pārkāpumiem, piemēram, par tiešu vai netiešu praksi, kas rada nekvalificētu un kvalificētu uzticamības pakalpojumu sajaukšanu vai ļaunprātīgu ES uzticamības zīmes izmantošanu, ko veic nekvalificēti uzticamības pakalpojumu sniedzēji. ES uzticamības zīmi nevajadzētu izmantot apstākļos, kas tieši vai netieši liek uzskatīt, ka minēto pakalpojumu sniedzēju piedāvātie nekvalificētie uzticamības pakalpojumi ir kvalificēti.

(46)

Šai regulai nebūtu jāattiecas uz tiem aspektiem, kas ir saistīti ar līgumu slēgšanu vai citu juridisku saistību uzņemšanos un šādu līgumu vai saistību derīgumu, ja attiecībā uz to veidu prasības noteiktas Savienības vai valsts tiesību aktos. Turklāt tai nebūtu jāietekmē valstu formātam izvirzītās prasības, kas attiecas uz publiskiem reģistriem, jo īpaši komercreģistriem un zemes reģistriem.

(47)

Uzticamības pakalpojumu sniegšana un lietošana un to sniegtie ieguvumi ērtības un juridiskās noteiktības ziņā pārrobežu darījumu kontekstā, jo īpaši tad, ja tiek izmantoti kvalificēti uzticamības pakalpojumi, kļūst arvien nozīmīgāki starptautiskajā tirdzniecībā un sadarbībā. Savienības starptautiskie partneri veido uzticamības regulējumus, iedvesmojoties no Regulas (ES) Nr. 910/2014. Lai atvieglotu kvalificētu uzticamības pakalpojumu un to sniedzēju atzīšanu, Komisija var pieņemt īstenošanas aktus, lai paredzētu nosacījumus, saskaņā ar kuriem trešo valstu uzticamības regulējumus varētu uzskatīt par līdzvērtīgiem šajā regulā paredzētajam kvalificētu uzticamības pakalpojumu un to sniedzēju satvaram. Šādai pieejai būtu jāpapildina Savienībā un trešās valstīs iedibinātu uzticamības pakalpojumu un to sniedzēju savstarpējās atzīšanas iespēja saskaņā ar Līguma par Eiropas Savienības darbību (LESD) 218. pantu. Paredzot nosacījumus, saskaņā ar kuriem trešo valstu uzticamības regulējumus varētu uzskatīt par līdzvērtīgiem regulā (ES) Nr. 910/2014 paredzētajam kvalificētu uzticamības pakalpojumu un to sniedzēju satvaram, būtu jānodrošina, ka tiek ievēroti attiecīgie Eiropas Parlamenta un Padomes Direktīvas (ES) 2022/2555 (13) un Regulas (ES) 2016/679 noteikumi un ka uzticamības saraksti tiek izmantoti kā būtiski elementi, lai panāktu uzticēšanos.

(48)

Šai regulai būtu jāveicina izvēle un iespēja pāriet no viena Eiropas digitālās identitātes maka uz citu, ja dalībvalsts savā teritorijā ir apstiprinājusi vairāk nekā vienu Eiropas digitālās identitātes maka risinājumu. Lai šādās situācijās nepieļautu iesīkstes efektu, Eiropas digitālās identitātes maku nodrošinātājiem, ja tas ir tehniski iespējams, būtu jānodrošina efektīva datu pārnesamība pēc Eiropas digitālās identitātes maka lietotāju pieprasījuma, un tiem nevajadzētu būt atļautam izmantot līgumiskus, ekonomiskus vai tehniskus šķēršļus, lai nepieļautu reālu pāriešanu no viena Eiropas digitālās identitātes maka uz citu vai lai atturētu no šādas pāriešanas.

(49)

Lai nodrošinātu pareizu Eiropas digitālās identitātes maku darbību, Eiropas digitālās identitātes makunodrošinātājiem ir vajadzīga efektīva sadarbspēja un taisnīgi, saprātīgi un nediskriminējoši nosacījumi Eiropas digitālās identitātes maku piekļuvei konkrētām mobilo ierīču aparatūras un programmatūras funkcijām. Minētie komponenti varētu ietvert jo īpaši tuvā lauka sakaru antenas un aizsardzības elementus, tostarp universālās integrālshēmas kartes, iegultus aizsardzības elementus, mikroSD kartes un Bluetooth Low Energy. Piekļuve minētajiem komponentiem varētu būt mobilo tīklu operatoru un aprīkojuma ražotāju kontrolē. Tāpēc, ja tas nepieciešams Eiropas digitālās identitātes maku pakalpojumu sniegšanai, mobilo ierīču oriģinālā aprīkojuma ražotājiem vai elektronisko sakaru pakalpojumu sniedzējiem nebūtu jāatsaka piekļuve šādiem komponentiem. Turklāt uz uzņēmumiem, kas izraudzīti par platformas pamatpakalpojumu vārtziņiem, kurus Komisija uzskaitījusi, ievērojot Eiropas Parlamenta un Padomes Regulu (ES) 2022/1925 (14), būtu joprojām jāattiecas minētās regulas konkrētajiem nosacījumiem, balstoties uz tās 6. panta 7. punktu.

(50)

Lai racionalizētu uzticamības pakalpojumu sniedzējiem uzliktos kiberdrošības pienākumus, kā arī ļautu minētajiem pakalpojumu sniedzējiem un to attiecīgajām kompetentajām iestādēm gūt labumu no tiesiskā satvara, kas izveidots ar Direktīvu (ES) 2022/2555, uzticamības pakalpojumiem ir jāveic atbilstoši tehniski un organizatoriski pasākumi saskaņā ar minēto Direktīvu, piemēram, pasākumi, kas vērsti uz sistēmas kļūmēm, cilvēku kļūdām, ļaunprātīgām darbībām vai dabas parādībām, lai pārvaldītu riskus, ko rada tāda tīkla un informācijas sistēmu drošība, ko šie pakalpojumu sniedzēji izmanto, lai saskaņā ar minēto Direktīvu sniegtu savus pakalpojumus un ziņotu par nozīmīgiem incidentiem un kiberdraudiem. Attiecībā uz ziņošanu par incidentiem uzticamības pakalpojumu sniedzējiem būtu jāpaziņo par jebkādiem incidentiem, kuriem ir būtiska ietekme uz to pakalpojumu sniegšanu, tostarp par tādiem, ko izraisījusi ierīču zādzība vai nozaudēšana, tīkla kabeļa bojājumi vai incidenti, kas radušies saistībā ar personu identificēšanu. Kiberdrošības riska pārvaldības prasības un ziņošanas pienākumi saskaņā ar Direktīvu (ES) 2022/2555 būtu jāuzskata par tādiem, kuri papildina prasības, kas uzticamības pakalpojumu sniedzējiem noteiktas saskaņā ar šo regulu. Attiecīgā gadījumā saskaņā ar Direktīvu (ES) 2022/2555 izraudzītajām kompetentajām iestādēm arī turpmāk būtu jāpiemēro iedibinātā valsts prakse vai norādījumi par drošības un ziņošanas prasību īstenošanu un šādu prasību ievērošanas pārraudzību, kā paredzēts Regulā (ES) Nr. 910/2014. Šī regula neietekmē pienākumu ziņot par personas datu pārkāpumiem, ievērojot Regulu (ES) 2016/679.

(51)

Pienācīgi būtu jāapsver efektīvas sadarbības nodrošināšanai starp uzraudzības iestādēm, kas izraudzītas, ievērojot Regulas (ES) Nr. 910/2014 46.b pantu, un kompetentajām iestādēm, kas izraudzītas vai izveidotas, ievērojot Direktīvas (ES) 2022/2555 8. panta 1. punktu. Gadījumos, kad uzraudzības iestāde atšķiras no kompetentās iestādes, tām būtu cieši un laikus jāsadarbojas, apmainoties ar attiecīgo informāciju, lai nodrošinātu efektīvu uzraudzību un uzticamības pakalpojumu sniedzēju atbilstību Regulā (ES) Nr. 910/2014 un Direktīvā (ES) 2022/2555 noteiktajām prasībām. Jo īpaši uzraudzības iestādēm, kas izraudzītas, ievērojot Regulu (ES) Nr. 910/2014, vajadzētu būt tiesībām lūgt kompetentās iestādes, kas izraudzītas vai izveidotas, ievērojot Direktīvu (ES) 2022/2555, sniegt attiecīgo informāciju, kas vajadzīga kvalificēta statusa piešķiršanai, un veikt uzraudzības darbības, lai pārbaudītu uzticamības pakalpojumu sniedzēju atbilstību attiecīgajām Direktīvā (ES) 2022/2555 paredzētajām prasībām, vai likt viņiem novērst neatbilstību.

(52)

Ir būtiski izveidot tiesisko regulējumu, kas atvieglo pārrobežu atzīšanu starp esošajām valstu tiesību sistēmām attiecībā uz elektroniski reģistrētiem piegādes pakalpojumiem. Minētais satvars varētu arī radīt jaunas tirgus iespējas Savienības uzticamības pakalpojumu sniedzējiem piedāvāt jaunus elektroniski reģistrētus piegādes pakalpojumus visā Savienībā. Lai nodrošinātu, ka dati ar kvalificētu elektroniski reģistrētu piegādes pakalpojumu tiek piegādāti pareizajam adresātam, kvalificētiem elektroniski reģistrētiem piegādes pakalpojumiem būtu jānodrošina pilnīga adresāta identifikācijas precizitāte, savukārt attiecībā uz sūtītāja identifikāciju būtu pietiekama identifikācija ar augstu ticamības līmeni. Dalībvalstīm būtu jāmudina kvalificētu elektroniski reģistrētu piegādes pakalpojumu sniedzēji nodrošināt savu pakalpojumu sadarbspēju ar kvalificētiem elektroniski reģistrētiem piegādes pakalpojumiem, kurus sniedz citi kvalificētu uzticamības pakalpojumu sniedzēji, lai atvieglotu elektroniski reģistrētu datu nosūtīšanu starp diviem vai vairākiem kvalificētiem uzticamības pakalpojumu sniedzējiem un veicinātu godprātīgu praksi iekšējā tirgū.

(53)

Vairumā gadījumu Savienības pilsoņi un Savienības pastāvīgie iedzīvotāji nevar pāri robežām, droši un ar augstu datu aizsardzības līmeni apmainīties ar digitālu informāciju, kas saistīta ar viņu identitāti, piemēram, adresi, vecumu, profesionālo kvalifikāciju, transportlīdzekļa vadītāja apliecību un citām atļaujām un maksājumu datiem.

(54)

Vajadzētu būt iespējai izdot un apstrādāt uzticamus elektroniskus atribūtus un palīdzēt samazināt administratīvo slogu, dodot Savienības pilsoņiem un pastāvīgajiem iedzīvotājiem Savienībā iespēju tos izmantot savos privātajos un publiskajos darījumos. Savienības pilsoņiem un Savienības pastāvīgajiem iedzīvotājiem, piemēram, vajadzētu būt iespējai pierādīt, ka viņiem ir derīga kādas dalībvalsts iestādes izsniegta transportlīdzekļa vadītāja apliecība, ko var verificēt un uz ko var paļauties attiecīgās iestādes citās dalībvalstīs, iespējai paļauties uz sava sociālā nodrošinājuma akreditācijas datiem vai uz turpmākiem digitālajiem ceļošanas dokumentiem pārrobežu kontekstā.

(55)

Visi pakalpojumu sniedzēji, kas izdod apliecinātus atribūtus elektroniskā formā, piemēram, diplomus, apliecības, dzimšanas apliecības vai pilnvaras un pilnvarojumus pārstāvēt fiziskas vai juridiskas personas vai rīkoties to vārdā, būtu uzskatāmi par elektroniskā atribūtu apliecinājuma uzticamības pakalpojumu sniedzējiem. Atribūtu elektroniskam apliecinājumam nevajadzētu liegt juridisko spēku tādēļ, ka tas ir elektroniskā formātā vai neatbilst kvalificēta elektroniska atribūtu apliecinājuma prasībām. Būtu jānosaka vispārīgas prasības, lai nodrošinātu, ka kvalificētam atribūtu elektroniskajam apliecinājumam ir līdzvērtīgs juridisks spēks kā likumīgi izdotiem papīra formāta apliecinājumiem. Tomēr šīs prasības būtu jāpiemēro, neskarot Savienības vai valstu tiesību aktus, kuros ir noteiktas papildu, nozarei specifiskas prasības attiecībā uz formātu ar tam pamatā esošu juridisku spēku, un jo īpaši attiecīgā gadījumā attiecībā uz kvalificēta atribūtu elektroniskā apliecinājuma atzīšanu pāri robežām.

(56)

Plašai Eiropas digitālās identitātes maku pieejamībai un lietojamībai būtu jāstiprina to pieņemšana un uzticēšanās tiem no privātu indivīdu un privātu pakalpojumu sniedzēju puses. Tādēļ privātām atkarīgajām personām, kuras sniedz pakalpojumus, piemēram, transporta, enerģētikas, banku un finanšu pakalpojumu, sociālā nodrošinājuma, veselības, dzeramā ūdens, pasta pakalpojumu, digitālās infrastruktūras, telesakaru vai izglītības jomā, būtu jāpieņem Eiropas digitālās identitātes maku lietošana pakalpojumu sniegšanas vajadzībām, ja Savienības vai valsts tiesību aktos vai līgumsaistībās tiek prasīta droša lietotāja autentifikācija identifikācijai tiešsaistē. Visiem Eiropas digitālās identitātes maka lietotājam adresētiem atkarīgās puses informācijas pieprasījumiem vajadzētu būt nepieciešamiem un samērīgiem ar paredzēto lietojumu konkrētā gadījumā, tiem vajadzētu atbilst datu minimizēšanas principam un būtu jānodrošina pārredzamība attiecībā uz to, kuri dati tiek kopīgoti un kādos nolūkos. Lai sekmētu Eiropas digitālās identitātes maku lietošanu un pieņemšanu, to ieviešanā būtu jāņem vērā plaši pieņemti nozares standarti un specifikācijas.

(57)

Ja ļoti lielas tiešsaistes platformas Eiropas Parlamenta un Padomes Regulas (ES) 2022/2065 (15) 33. panta 1. punkta nozīmē prasa lietotājiem pašiem autentificēties, lai tie varētu piekļūt tiešsaistes pakalpojumiem, būtu jāprasa minētajām platformām pieņemt Eiropas digitālās identitātes maku lietošanu pēc lietotāja brīvprātīgi izteikta lūguma. Lietotājiem nevajadzētu būt pienākumam lietot Eiropas digitālās identitātes maku, lai piekļūtu privātiem pakalpojumiem, un nebūtu jāierobežo vai jākavē viņu piekļuve pakalpojumiem tāpēc, ka viņi nelieto Eiropas digitālās identitātes maku. Tomēr, ja lietotāji vēlas to darīt, ļoti lielām platformām būtu tie jāpieņem minētajā nolūkā, vienlaikus ievērojot datu minimizēšanas principu un lietotāju tiesības izmantot brīvi izvēlētus pseidonīmus. Tā kā lielas tiešsaistes platformas to pieejamības dēļ ir ļoti nozīmīgas, jo īpaši pakalpojuma saņēmēju un ekonomisko darījumu skaita izteiksmē, pienākums pieņemt Eiropas digitālās identitātes makus ir nepieciešams, lai pastiprinātu lietotāju aizsardzību pret krāpšanu un nodrošinātu augstu datu aizsardzības līmeni.

(58)

Savienības līmenī būtu jāizstrādā rīcības kodeksi, lai palīdzētu darīt plaši pieejamus un izmantot elektroniskās identifikācijas līdzekļus, tostarp Eiropas digitālās identitātes makus, kas ir šīs regulas darbības jomā. Rīcības kodeksiem būtu jāveicina tas, ka elektroniskos identifikācijas līdzekļus, tostarp Eiropas digitālās identitātes makus, plaši pieņem tie pakalpojumu sniedzēji, kuri nav kvalificējami kā ļoti lielas platformas un kuri lietotāju autentifikācijā paļaujas uz trešo personu elektroniskās identifikācijas pakalpojumiem.

(59)

Selektīva izpaušana ir jēdziens, kas datu īpašniekam dod iespēju izpaust tikai dažas daļas no plašākas datu kopas, lai saņēmējs subjekts saņemtu vienīgi tādu informāciju, kāda nepieciešama lietotāja pieprasītā pakalpojuma sniegšanai. Eiropas digitālās identitātes makam tehniski būtu jādod iespēja selektīvi izpaust atribūtus atkarīgām personām. Vajadzētu būt tehniski iespējamam, ka lietotājs var selektīvi izpaust atribūtus, tostarp no vairākiem atšķirīgiem elektroniskajiem apliecinājumiem, un tos apvienot un netraucēti uzrādīt atkarīgajām personām. Šai funkcijai būtu jākļūst par Eiropas digitālās identitātes maku struktūras pamatelementu, tādējādi uzlabojot ērtības un personas datu aizsardzību, tostarp datu minimizēšanu.

(60)

Ja vien konkrēti Savienības vai valstu tiesību aktu noteikumi neprasa lietotājiem identificēties, nebūtu jāaizliedz piekļūt pakalpojumiem, izmantojot pseidonīmu.

(61)

Atribūti, ko kvalificēti uzticamības pakalpojumu sniedzēji nodrošina kā kvalificētas atribūtu apliecināšanas daļu, būtu jāverificē, salīdzinot ar autentiskiem avotiem, vai nu tieši kvalificētam uzticamības pakalpojumu sniedzējam, vai izmantojot izraudzītus starpniekus, kas atzīti valsts līmenī saskaņā ar Savienības vai valsts tiesību aktiem, nolūkā veikt drošu apliecinātu atribūtu apmaiņu starp identitātes vai atribūtu apliecināšanas pakalpojumu sniedzējiem un atkarīgajām personām. Dalībvalstīm valstu līmenī būtu jāizveido pienācīgi mehānismi, lai nodrošinātu, ka kvalificēti uzticamības pakalpojumu sniedzēji, kuri izdod kvalificētus atribūtu elektroniskos apliecinājumus, var uz tās personas piekrišanas pamata, kurai apliecinājums izdots, verificēt atribūtu autentiskumu, izmantojot autentiskus avotus. Vajadzētu būt iespējamam pienācīgos mehānismos iekļaut konkrētu starpnieku vai tehnisku risinājumu izmantošanu saskaņā ar valsts tiesību aktiem, kas ļauj piekļūt autentiskiem avotiem. Mehānisma pieejamības nodrošināšanai, kas dod iespēju verificēt atribūtus, salīdzinot tos ar autentiskiem avotiem, vajadzētu sekmēt to, ka kvalificēti uzticamības pakalpojumu sniedzēji, kuri izsniedz kvalificētu elektronisko atribūtu apliecinājumu, ievēro savus pienākumus atbilstoši Regulai (ES) Nr. 910/2014. Minētās regulas jaunā pielikumā būtu jāiekļauj saraksts ar atribūtu kategorijām, attiecībā uz kurām dalībvalstīm būtu jānodrošina, ka tiek veikti pasākumi, kas ļauj kvalificētiem atribūtu elektronisko apliecinājumu sniedzējiem pēc lietotāja pieprasījuma ar elektroniskiem līdzekļiem verificēt to autentiskumu salīdzinājumā ar attiecīgo autentisko avotu.

(62)

Drošai elektroniskai identifikācijai un atribūtu apliecinājuma nodrošināšanai būtu jāsniedz papildu elastība un risinājumi finanšu pakalpojumu nozarē, lai varētu identificēt klientus un apmainīties ar konkrētiem atribūtiem, kas vajadzīgi, lai izpildītu, piemēram, klientu uzticamības pārbaudes prasības saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas novēršanas regulu [atsauce jāpievieno pēc priekšlikuma pieņemšanas], piemērotības prasības, kas izriet no ieguldītāju aizsardzības tiesību aktiem, vai lai atbalstītu drošu klientu autentifikācijas prasību izpildi attiecībā uz tiešsaistes identifikāciju, ko veic, lai pieteiktos kontā un lai uzsāktu darījumu maksājumu pakalpojumu jomā.

(63)

Elektroniskā paraksta juridisko spēku nevar apstrīdēt, pamatojoties uz to, ka tas ir elektroniskā formātā vai ka tas neatbilst kvalificētā elektroniskā paraksta prasībām. Tomēr elektronisko parakstu juridiskais spēks ir jānosaka valstu tiesību aktos, izņemot šajā regulā paredzētās prasības, saskaņā ar kurām kvalificēta elektroniskā paraksta juridiskās sekas ir uzskatāmas par līdzvērtīgām ar roku rakstītam parakstam. Nosakot elektronisko parakstu juridisko spēku, dalībvalstīm būtu jāņem vērā samērīguma princips starp parakstāmā dokumenta juridisko vērtību un drošības līmeni un izmaksām, ko prasa elektroniskais paraksts. Lai palielinātu elektronisko parakstu pieejamību un izmantošanu, dalībvalstis tiek mudinātas apsvērt uzlabotu elektronisko parakstu izmantošanu ikdienas darījumos, attiecībā uz kuriem tie nodrošina pietiekamu drošības un ticamības līmeni.

(64)

Lai nodrošinātu konsekventu sertifikācijas praksi visā Savienībā, Komisijai vajadzētu izdot pamatnostādnes par kvalificēta elektroniskā paraksta radīšanas ierīču un kvalificēta elektroniskā zīmoga radīšanas ierīču sertifikāciju un resertifikāciju, tostarp par to derīgumu un termiņiem. Šī regula neliedz publiskām vai privātām struktūrām, kurām ir sertificētas kvalificēta elektroniskā paraksta radīšanas ierīces, uz laiku atkārtoti sertificēt šādas ierīces uz īstermiņa sertifikācijas periodu, pamatojoties uz iepriekšējā sertifikācijas procesa rezultātiem, ja šādu atkārtotu sertifikāciju nevar veikt juridiski noteiktā termiņā cita iemesla dēļ, kas nav pārkāpums vai drošības incidents, un neskarot pienākumu veikt neaizsargātības novērtējumu un neskarot piemērojamo sertifikācijas praksi.

(65)

Tīmekļa vietņu autentifikācijas sertifikātu izdošanas mērķis ir sniegt lietotājiem augsta līmeņa ticamību attiecībā uz tā subjekta identitāti, kas atbild par tīmekļa vietni, neatkarīgi no platformas, kas tiek izmantota minētās identitātes attēlošanai. Minētajiem pakalpojumiem būtu jāpalīdz veidot uzticēšanos darījumu kārtošanai tiešsaistē, jo lietotāji uzticētos autentificētai tīmekļa vietnei. Šādu tīmekļa vietņu sertifikātu lietošanai tīmekļa vietnēs vajadzētu būt brīvprātīgai. Lai tīmekļa vietņu autentifikācija kļūtu par veidu, kā palielināt uzticēšanos, sniegt labāku pieredzi lietotājam un veicināt izaugsmi iekšējā tirgū, šī regula nosaka uzticamības satvaru, tostarp minimālos drošības un atbildības pienākumus kvalificētu tīmekļa vietņu autentifikācijas sertifikātu sniedzējiem un prasības minēto sertifikātu izsniegšanai. Valstu uzticamības sarakstiem būtu jāapstiprina tīmekļa vietņu autentifikācijas pakalpojumu un to uzticamības pakalpojumu sniedzēju kvalificētais statuss, tostarp to pilnīga atbilstība šīs regulas prasībām attiecībā uz kvalificētu tīmekļa vietņu autentifikācijas sertifikātu izdošanu. Kvalificētu tīmekļa vietņu autentifikācijas sertifikātu atzīšana nozīmē, ka tīmekļa pārlūkprogrammu nodrošinātājiem nebūtu jānoliedz kvalificētu sertifikātu autentiskums tīmekļa vietnes autentifikācijai vienīgi nolūkā apliecināt saikni starp tīmekļa vietnes domēna nosaukumu un fizisko vai juridisko personu, kurai sertifikāts ir izdots, vai apstiprināt minētās personas identitāti. Tīmekļa pārlūkprogrammu nodrošinātājiem būtu pārlūkprogrammas vidē lietotājdraudzīgā veidā jāparāda tiešajam lietotājam sertificētie identitātes dati un citi apliecinātie atribūti, izmantojot pašu izvēlētu tehnisko īstenošanu. Minētajā nolūkā tīmekļa pārlūkprogrammu nodrošinātājiem būtu jānodrošina atbalsts un sadarbspēja ar kvalificētiem tīmekļa vietņu autentifikācijas sertifikātiem, kuri izdoti pilnīgi saskaņā ar šo regulu. Kvalificētu tīmekļa vietņu autentifikācijas sertifikātu atzīšanas, sadarbspējas un atbalsta pienākums neietekmē tīmekļa pārlūkprogrammu nodrošinātāju brīvību nodrošināt tīmekļa drošību, domēna autentifikāciju un tīmekļa datplūsmas šifrēšanu tādā veidā un ar tādām tehnoloģijām, kādas tie uzskata par vispiemērotākajām. Lai sekmētu tiešo lietotāju drošību tiešsaistē, tīmekļa pārlūkprogrammu nodrošinātājiem būtu izņēmuma apstākļos jāspēj veikt piesardzības pasākumus, kas ir gan nepieciešami, gan samērīgi reakcijā uz pamatotām bažām par drošības pārkāpumiem vai identificēta sertifikāta vai sertifikātu kopuma integritātes zudumu. Tīmekļa pārlūkprogrammu nodrošinātājiem, ja tie veic šādus piesardzības pasākumus, būtu bez liekas kavēšanās jāpaziņo Komisijai, valsts uzraudzības struktūrai un subjektam, kuram sertifikāts tika izdots, un kvalificētajam uzticamības pakalpojuma sniedzējam, kas izsniedza minēto sertifikātu vai sertifikātu kopumu, par visām bažām attiecībā uz šādu drošības pārkāpumu vai integritātes zudumu, kā arī par pasākumiem, kas veikti saistībā ar atsevišķu sertifikātu vai sertifikātu kopumu. Minētajiem pasākumiem nebūtu jāskar tīmekļa pārlūkprogrammu nodrošinātāju pienākums atzīt kvalificētus tīmekļa vietņu autentifikācijas sertifikātus saskaņā ar valstu uzticamības sarakstiem. Lai vēl vairāk aizsargātu Savienības pilsoņus un Savienības pastāvīgos iedzīvotājus un lai veicinātu kvalificētu tīmekļa vietņu autentifikācijas sertifikātu lietošanu, dalībvalstu publiskajām iestādēm būtu jāapsver kvalificētu tīmekļa vietņu autentifikācijas sertifikātu iekļaušana savās tīmekļa vietnēs. Šajā regulā paredzētie pasākumi, kuru mērķis ir panākt lielāku saskaņotību starp dalībvalstu atšķirīgajām pieejām un praksi attiecībā uz uzraudzības procedūrām, ir iecerēti, lai sekmētu lielāku uzticēšanos un paļāvību uz kvalificētu tīmekļa vietņu autentifikācijas sertifikātu drošību, kvalitāti un pieejamību.

(66)

Daudzas dalībvalstis ir ieviesušas valsts prasības drošas un uzticamas elektroniskās arhivēšanas pakalpojumiem, lai ilgtermiņā saglabātu elektroniskos datus un elektroniskos dokumentus, un ar tiem saistītiem uzticamības pakalpojumiem. Lai nodrošinātu juridisko noteiktību, uzticēšanos un saskaņošanu visās dalībvalstīs, būtu jāizveido tiesisks satvars kvalificētiem elektroniskās arhivēšanas pakalpojumiem, iedvesmojoties no citu šajā regulā paredzēto uzticamības pakalpojumu satvara. Kvalificētu elektroniskās arhivēšanas pakalpojumu satvaram būtu jāpiedāvā uzticamības pakalpojumu sniedzējiem un lietotājiem efektīvs instrumentu kopums, kurā ir iekļautas funkcionālas prasības elektroniskās arhivēšanas pakalpojumam, kā arī skaidras tiesiskās sekas, ja tiek izmantots kvalificēts elektroniskās arhivēšanas pakalpojums. Minētie noteikumi būtu jāpiemēro elektroniskiem datiem un elektroniskiem dokumentiem, kuri radīti elektroniskā formā, kā arī papīra dokumentiem, kas ir ieskenēti un digitalizēti. Vajadzības gadījumā minētajiem noteikumiem būtu jāatļauj saglabātos elektroniskos datus un elektroniskos dokumentus pārnest uz citādiem nesējiem vai formātiem, lai pagarinātu to ilglaicīgumu un lasāmību pēc tehniskā derīguma termiņa beigām, vienlaikus pēc iespējas novēršot zudumus un izmaiņas. Ja elektroniskie dati un elektroniskie dokumenti, kas iesniegti elektroniskās arhivēšanas pakalpojumam, satur vienu vai vairākus kvalificētus elektroniskos parakstus vai kvalificētus elektroniskos zīmogus, pakalpojumam būtu jāizmanto procedūras un tehnoloģijas, kas spēj pagarināt to uzticamību šādu datu saglabāšanas periodā, iespējams, paļaujoties uz citu kvalificētu elektronisko uzticamības pakalpojumu izmantošanu, kuri izveidoti ar šo regulu. Lai izveidotu saglabāšanas pierādījumus, kuros izmanto elektroniskos parakstus, elektroniskos zīmogus vai elektroniskos laika zīmogus, būtu jāizmanto kvalificēti uzticamības pakalpojumi. Tiktāl, ciktāl šī regula nesaskaņo elektroniskās arhivēšanas pakalpojumus, dalībvalstīm vajadzētu būt iespējai saglabāt vai ieviest valsts noteikumus, saskaņā ar Savienības tiesību aktiem, attiecībā uz minētajiem pakalpojumiem, piemēram, konkrētus noteikumus attiecībā uz pakalpojumiem, kuri ir integrēti organizācijā un kurus izmanto vienīgi minētās organizācijas iekšējiem arhīviem. Šai regulai nevajadzētu nošķirt elektroniskus datus un elektroniskus dokumentus, kas radīti elektroniskā formā, no fiziskiem dokumentiem, kas ir digitalizēti.

(67)

Pasākumus, ko veic valstu arhīvi un atmiņas institūcijas kā organizācijas, kas nodarbojas ar dokumentārā mantojuma saglabāšanu sabiedrības interesēs, parasti reglamentē valsts tiesību akti, un tās ne vienmēr sniedz uzticamības pakalpojumus šīs regulas izpratnē. Ciktāl šādas iestādes nesniedz šādus uzticamības pakalpojumus, šī regula neskar to darbību.

(68)

Elektroniskas virsgrāmatas ir elektronisko datu ierakstu sekvence, kam būtu jānodrošina to integritāte un to hronoloģiskās secības precizitāte. Elektroniskajām virsgrāmatām būtu jāizveido datu ierakstu hronoloģiskā secība. Kopā ar citām tehnoloģijām tām būtu jāpalīdz rast risinājumus efektīvākiem un transformatīviem publiskajiem pakalpojumiem, tādiem kā e-balsošana, pārrobežu sadarbība starp muitas iestādēm, pārrobežu sadarbība starp akadēmiskajām iestādēm un nekustamā īpašuma īpašumtiesību reģistrēšana decentralizētos zemes reģistros. Kvalificētām elektroniskajām virsgrāmatām būtu jārada juridiska prezumpcija attiecībā uz unikālu un precīzu virsgrāmatā iekļauto datu ierakstu hronoloģisko secību un integritāti. Elektroniskās virsgrāmatas to specifisko iezīmju dēļ, piemēram, ierakstu hronoloģiskās secības dēļ, būtu jānošķir no citiem uzticamības pakalpojumiem, piemēram, elektroniskiem laika zīmogiem un elektroniski reģistrētiem piegādes pakalpojumiem. Lai nodrošinātu juridisko noteiktību un veicinātu inovāciju, būtu jāizveido Savienības mēroga tiesiskais satvars, kas paredz pāri robežām atzīt uzticamības pakalpojumus attiecībā uz datu reģistrēšanu elektroniskajās virsgrāmatās. Tam būtu pietiekami jānovērš tas, ka viens un tas pats digitālais aktīvs tiek kopēts un pārdots vairāk nekā vienu reizi dažādām pusēm. Elektroniskās virsgrāmatas izveides un atjaunināšanas process ir atkarīgs no izmantotās virsgrāmatas veida, proti, vai tā ir centralizēta vai izkliedēta. Šai regulai būtu jānodrošina tehnoloģiskā neitralitāte, proti, ka nevienai tehnoloģijai, ko izmanto, lai īstenotu jauno elektronisko virsgrāmatu uzticamības pakalpojumu, netiek dota nedz priekšroka, nedz arī tā tiek diskriminēta. Turklāt, sagatavojot īstenošanas aktus, kuros konkrēti nosaka prasības attiecībā uz kvalificētām elektroniskajām virsgrāmatām, Komisijai, izmantojot atbilstīgas metodikas, būtu jāņem vērā ilgtspējas rādītāji attiecībā uz jebkādu nelabvēlīgu ietekmi uz klimatu vai citu ar vidi saistītu nelabvēlīgu ietekmi.

(69)

Elektronisko virsgrāmatu uzticamības pakalpojumu sniedzēju lomai vajadzētu būt pārliecināties par secīgu datu reģistrēšanu virsgrāmatā. Šī regula neskar elektronisko virsgrāmatu lietotāju juridiskos pienākumus saskaņā ar Savienības vai valstu tiesībām. Piemēram, lietošanas gadījumiem, kuros iesaistīta personas datu apstrāde, būtu jāatbilst Regulai (ES) 2016/679, un lietošanas gadījumiem, kas saistīti ar finanšu pakalpojumiem, būtu jāatbilst attiecīgajiem Savienības tiesību aktiem finanšu pakalpojumu jomā.

(70)

Lai izvairītos no sadrumstalotības un šķēršļiem iekšējā tirgū atšķirīgo standartu un tehnisko ierobežojumu dēļ un lai nodrošinātu koordinētu procesu nolūkā izvairīties no tā, ka tiek ietekmēta Eiropas digitālās identitātes satvara īstenošana, ir vajadzīga cieša un strukturēta Komisijas, dalībvalstu, pilsoniskās sabiedrības, akadēmisko aprindu un privātā sektora sadarbība. Lai sasniegtu minēto mērķi, dalībvalstīm un Komisijai būtu jāsadarbojas atbilstīgi Komisijas Ieteikumā (ES) 2021/946 (16) paredzētajam satvaram nolūkā noteikt kopīgu Savienības rīkkopu Eiropas digitālās identitātes satvaram. Minētajā sakarā dalībvalstīm būtu jāvienojas par visaptverošu tehnisko arhitektūru un atsauču satvaru, kopīgu standartu un tehnisko atsauču kopumu, tostarp atzītiem esošiem standartiem, kā arī pamatnostādņu un paraugprakses aprakstu kopumu, kas aptver vismaz visas Eiropas digitālās identitātes maku, tostarp e-parakstus un kvalificēta atribūtu elektroniskas apliecināšanas uzticamības pakalpojuma sniedzēju funkcionalitātes un sadarbspēju, kā noteikts šajā regulā. Minētajā sakarā dalībvalstīm būtu arī jāvienojas par elementiem attiecībā uz Eiropas digitālās identitātes maku uzņēmējdarbības modeļa elementiem un maksājumu struktūru, lai pārrobežu kontekstā atvieglotu to ieviešanu, jo īpaši to, kuru veic MVU. Rīkkopas saturam būtu jāattīstās vienlaikus ar Eiropas digitālās identitātes satvara apspriešanas un pieņemšanas procesa rezultātu un tas jāatspoguļo.

(71)

Šī regula paredz kvalificētu uzticamības pakalpojumu saskaņotu kvalitātes, uzticamības un drošības līmeni neatkarīgi no darbības veikšanas vietas. Tādējādi kvalificētam uzticamības pakalpojumu sniedzējam būtu jāļauj izmantot ārpakalpojumus savām darbībām, kas saistītas ar kvalificēta uzticamības pakalpojuma sniegšanu trešā valstī, ja šī trešā valsts sniedz pienācīgas garantijas, nodrošinot, ka uzraudzības darbības un revīzijas var īstenot tā, it kā tās tiktu veiktas Savienībā. Ja nav iespējams pilnībā nodrošināt atbilstību šai regulai, uzraudzības iestādēm būtu jāspēj pieņemt samērīgus un pamatotus pasākumus, tostarp atsaukt kvalificēto statusu sniegtajam uzticamības pakalpojumam.

(72)

Lai nodrošinātu juridisko noteiktību attiecībā uz tādu uzlabotu elektronisko parakstu derīgumu, kuru pamatā ir kvalificēti sertifikāti, ir svarīgi precizēt novērtējumu, ko veic atkarīgā puse, kura veic minētā uz kvalificētiem sertifikātiem balstīta uzlabota elektroniskā paraksta validāciju.

(73)

Uzticamības pakalpojumu sniedzējiem būtu jāizmanto kriptogrāfijas metodes, kas atspoguļo pašreizējo paraugpraksi un uzticamu minēto algoritmu īstenošanu savu uzticamības pakalpojumu drošības un uzticamības nodrošināšanai.

(74)

Šī regula nosaka kvalificētu uzticamības pakalpojumu sniedzēju pienākumu verificēt tās fiziskās vai juridiskās personas identitāti, kurai ir izdots kvalificētais sertifikāts vai kvalificēts atribūta elektroniskais apliecinājums, pamatojoties uz dažādām saskaņotām metodēm visā Savienībā. Lai nodrošinātu, ka kvalificēti sertifikāti un kvalificēti atribūtu elektroniskie apliecinājumi tiek izdoti personām, kurām tie pieder, un ka tie apliecina pareizu un unikālu datu kopumu, kas atspoguļo minētās personas identitāti, kvalificētajiem uzticamības pakalpojumu sniedzējiem, kuri izdod kvalificētus sertifikātus vai izdod kvalificētus atribūtu elektroniskos apliecinājumus, būtu minēto sertifikātu un apliecinājumu izsniegšanas brīdī ar pilnīgu noteiktību jānodrošina minētās personas identifikācija. Turklāt papildus obligātai personas identitātes verifikācijai, ja tā ir piemērojama kvalificētu sertifikātu izdošanai un kad tiek izdots kvalificēts atribūtu elektroniskais apliecinājums, kvalificētiem uzticamības pakalpojumu sniedzējiem būtu ar pilnīgu noteiktību jānodrošina personas, kurai tiek izdots kvalificētais sertifikāts vai kvalificētais atribūtu elektroniskais apliecinājums, apliecināto atribūtu pareizība un precizitāte. Minētos pienākumus attiecībā uz rezultātu un pilnīgu noteiktību apliecināto datu verifikācijā būtu jāatbalsta ar pienācīgiem līdzekļiem, tostarp, izmantojot vienu konkrētu šajā regulā noteiktu metodi vai, vajadzības gadījumā, to kombināciju. Vajadzētu būt iespējai kombinēt minētās metodes, lai nodrošinātu pienācīgu pamatu tās personas identitātes verifikācijai, kurai izdod kvalificētu sertifikātu vai kvalificētu atribūtu elektronisko apliecinājumu. Šādā kombinācijā vajadzētu varēt ietvert paļaušanos uz elektroniskiem identifikācijas līdzekļiem, kuri atbilst uzticamības līmeņa “būtisks” prasībām, apvienojumā ar citiem identitātes verifikācijas līdzekļiem. Šāda elektroniskā identifikācija nodrošinātu šajā regulā paredzēto saskaņoto prasību izpildi attiecībā uz uzticamības līmeni “augsts”, kā daļu no saskaņotām attālinātām procedūrām, kas nodrošina identifikāciju ar augstu ticamības līmeni. Minētajām metodēm vajadzētu ietvert iespēju, ka kvalificētu uzticamības pakalpojumu sniedzējs, kas izsniedz kvalificētu atribūtu elektronisko apliecinājumu, pēc lietotāja pieprasījuma un saskaņā ar Savienības vai valsts tiesību aktiem verificē ar elektroniskiem līdzekļiem apliecināmos atribūtus, tostarp, salīdzinot ar autentiskiem avotiem.

(75)

Lai nodrošinātu šīs regulas atbilstību pasaules norisēm un ņemtu vērā paraugpraksi iekšējā tirgū, Komisijas pieņemtie deleģētie un īstenošanas akti būtu regulāri jāpārskata un vajadzības gadījumā jāatjaunina. Minēto atjauninājumu nepieciešamības novērtējumā būtu jāņem vērā jaunās tehnoloģijas, prakse, standarti vai tehniskās specifikācijas.

(76)

Ņemot vērā to, ka šīs regulas mērķus, proti, Savienības līmeņa Eiropas digitālās identitātes satvara un uzticamības pakalpojumu satvara izstrādi, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet rīcības mēroga un ietekmes dēļ tos var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā regulā paredz vienīgi tos pasākumus, kas ir vajadzīgi minēto mērķu sasniegšanai.

(77)

Saskaņā ar Regulas (ES) 2018/1725 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju.

(78)

Tāpēc Regula (ES) Nr. 910/2014 būtu attiecīgi jāgroza,

1)

regulas 1. pantu aizstāj ar šādu:

2)

regulas 2. pantu groza šādi:

3)

regulas 3. pantu groza šādi:

4)

regulas 5. pantu aizstāj ar šādu:

5)

regulas II nodaļā iekļauj šādu iedaļu:

(*2)  Eiropas Parlamenta un Padomes Direktīva (ES) 2019/882 (2019. gada 17. aprīlis) par produktu un pakalpojumu piekļūstamības prasībām (OV L 151, 7.6.2019., 70. lpp.)."

(*3)  Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (2019. gada 17. aprīlis) par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (OV L 151, 7.6.2019., 15. lpp.)."

(*4)  Komisijas Ieteikums 2003/361/EK (2003. gada 6. maijs) par mikrouzņēmumu, mazo un vidējo uzņēmumu definīciju (OV L 124, 20.5.2003., 36. lpp.)."

(*5)  Eiropas Parlamenta un Padomes Regula (ES) 2022/2065 (2022. gada 19. oktobris) par digitālo pakalpojumu vienoto tirgu un ar ko groza Direktīvu 2000/31/EK (Digitālo pakalpojumu akts) (OV L 277, 27.10.2022., 1. lpp.).”;"

6)

pirms regulas 6. panta iekļauj šādu virsrakstu:

7)

Regulas 7. panta g) punktu aizstāj ar šādu:

8)

regulas 8. panta 3. punkta pirmo daļu aizstāj ar šādu:

9)

regulas 9. panta 2. un 3. punktu aizstāj ar šādiem:

10)

10. panta virsrakstu aizstāj ar šādu:

“Elektroniskās identifikācijas shēmu drošības prasību pārkāpums”;

11)

regulā iekļauj šādu pantu:

12)

regulas 12. pantu groza šādi:

13)

regulas II nodaļā iekļauj šādus pantus:

(*6)  Eiropas Parlamenta un Padomes Regula (ES) 2022/1925 (2022. gada 14. septembris) par sāncensīgiem un godīgiem tirgiem digitālajā nozarē un ar ko groza Direktīvas (ES) 2019/1937 un (ES) 2020/1828 (Digitālo tirgu akts) (OV L 265, 12.10.2022., 1. lpp.).”;"

14)

regulas 13. panta 1. punktu aizstāj ar šādu:

15)

regulas 14., 15. un 16. pantu aizstāj ar šādu:

(*7)  Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris) par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (OV L 333, 27.12.2022., 80. lpp.).”;"

16)

regulas III nodaļas 2 iedaļas nosaukumu aizstāj ar šādu:

“Nekvalificēti uzticamības pakalpojumi”;

17)

regulas 17. un 18. pantu svītro;

18)

regulas III nodaļas 2. iedaļā iekļauj šādu pantu:

19)

regulas 20. pantu groza šādi:

20)

regulas 21. pantu groza šādi:

21)

regulas 24. pantu groza šādi:

22)

regulas III nodaļas 3. iedaļā iekļauj šādu pantu:

23)

regulas 25. panta 3. punktu svītro;

24)

regulas 26. pantu groza šādi:

25)

regulas 27. panta 4. punktu svītro;

26)

regulas 28. panta 6. punktu aizstāj ar šādu:

27)

regulas 29. pantā iekļauj šādu punktu:

28)

regulā iekļauj šādu pantu:

29)

regulas 30. pantā iekļauj šādu punktu:

30)

regulas 31. panta 3. punktu aizstāj ar šādu:

31)

Regulas 32. pantu groza šādi:

32)

regulā iekļauj šādu pantu:

33)

regulas 33. panta 2. punktu aizstāj ar šādu:”

34)

regulas 34. pantu groza šādi:

35)

regulas 35. panta 3. punktu svītro;

36)

regulas 36. pantu groza šādi:

37)

regulas 37. panta 4. punktu svītro;

38)

regulas 38. panta 6. punktu aizstāj ar šādu:

39)

regulā iekļauj šādu pantu:

40)

regulas III nodaļas 5. iedaļā iekļauj šādu pantu:

41)

regulas 41. panta 3. punktu svītro;

42)

regulas 42. pantu groza šādi:

43)

regulas 44. pantu groza šādi:

44)

regulas 45. pantu aizstāj ar šādu:

45)

regulā iekļauj šādu pantu:

46)

Direktīvas III nodaļā iekļauj šādas iedaļas:

47)

regulā iekļauj šādu nodaļu:

48)

regulas 47. pantu groza šādi:

49)

regulas VI nodaļā iekļauj šādu pantu:

50)

regulas 49. pantu aizstāj ar šādu:

51)

regulas 51. pantu aizstāj ar šādu:

52)

regulas I–IV pielikumu attiecīgi groza saskaņā ar šīs regulas I–IV pielikumu;

53)

pievieno jaunu V, VI un VII pielikumu, kā noteikts šīs regulas V, VI un VII pielikumā.