This document is an excerpt from the EUR-Lex website
Document 32025R1569
Commission Implementing Regulation (EU) 2025/1569 of 29 July 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards qualified electronic attestations of attributes and electronic attestations of attributes provided by or on behalf of a public sector body responsible for an authentic source
Vykonávacie nariadenie Komisie (EÚ) 2025/1569 z 29. júla 2025, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014, pokiaľ ide o kvalifikované elektronické osvedčenia atribútov a elektronické osvedčenia atribútov poskytované subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene
Vykonávacie nariadenie Komisie (EÚ) 2025/1569 z 29. júla 2025, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014, pokiaľ ide o kvalifikované elektronické osvedčenia atribútov a elektronické osvedčenia atribútov poskytované subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene
C/2025/5046
Ú. v. EÚ L, 2025/1569, 30.7.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/1569/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Úradný vestník |
SK Séria L |
|
2025/1569 |
30.7.2025 |
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2025/1569
z 29. júla 2025,
ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014, pokiaľ ide o kvalifikované elektronické osvedčenia atribútov a elektronické osvedčenia atribútov poskytované subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (1), a najmä na jeho článok 45d ods. 5, článok 45e ods. 2, článok 45f ods. 6 a článok 45f ods. 7,
keďže:
|
(1) |
Nariadením (EÚ) č. 910/2014 sa vytvára právny rámec pre vydávanie a validáciu elektronických osvedčení atribútov vrátane povinnosti poskytovateľov elektronických osvedčení atribútov poskytnúť používateľom európskej peňaženky digitálnej identity (ďalej len „peňaženka“) možnosť požiadať o elektronické osvedčenie atribútov, získať, uchovávať a spravovať ich bez ohľadu na členský štát, v ktorom sa peňaženky poskytujú. Elektronické osvedčenia atribútov sú kľúčovými zložkami pre vytvorenie bezpečného a interoperabilného ekosystému európskych peňaženiek digitálnej identity (ďalej len „ekosystém peňaženiek“). Používateľom umožňujú vymieňať si informácie so spoliehajúcimi sa stranami dôveryhodným spôsobom v rôznych prípadoch použitia. |
|
(2) |
Rozhrania s európskymi peňaženkami digitálnej identity, ktoré majú poskytovať poskytovatelia kvalifikovaných elektronických osvedčení atribútov, ako je stanovené v článku 45g nariadenia (EÚ) č. 910/2014, zdôrazňujú význam elektronických osvedčení atribútov pre ekosystém peňaženiek a uľahčujú ich rýchle zavedenie. |
|
(3) |
Komisia pravidelne posudzuje nové technológie, postupy, normy a technické špecifikácie. S cieľom zabezpečiť čo najvyššiu úroveň harmonizácie medzi členskými štátmi pri vývoji a certifikácii peňaženiek sa technické špecifikácie stanovené v tomto nariadení opierajú o prácu vykonanú podľa odporúčania Komisie (EÚ) 2021/946 z 3. júna 2021 o spoločnom súbore nástrojov Únie pre koordinovaný prístup k európskemu rámcu digitálnej identity (2), a najmä o architektúru a referenčný rámec, ktorý je jeho súčasťou. V súlade s odôvodnením 75 nariadenia Európskeho parlamentu a Rady 2024/1183 (3) by Komisia mala preskúmať a v prípade potreby aktualizovať toto nariadenie, aby bolo v súlade s globálnym vývojom, architektúrou a referenčným rámcom a aby sa dodržiavali najlepšie postupy na vnútornom trhu, najmä pokiaľ ide o vydávanie elektronických osvedčení atribútov a overovanie atribútov na základe autentických zdrojov alebo určených sprostredkovateľov. |
|
(4) |
Ak poskytovatelia kvalifikovaných elektronických osvedčení atribútov a elektronických osvedčení atribútov vydávaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene vydávajú osvedčenia, v ktorých sa tvrdí, že spĺňajú požiadavky schém osvedčovania atribútov zaregistrovaných v katalógu, súčasťou posudzovania zhody stanoveného v nariadení (EÚ) č. 910/2014 by mali byť politiky a postupy na zabezpečenie súladu s požiadavkami týchto schém. |
|
(5) |
Ochrana pred nedôveryhodnými informáciami má pre digitalizáciu osvedčení veľký význam. Preto by malo byť možné kvalifikované elektronické osvedčenia atribútov a elektronické osvedčenia atribútov vydané subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene zrušiť, alebo by sa mali zaviesť alternatívne opatrenia na kompenzáciu rizík spojených s nezrušiteľnosťou. Určité okolnosti, ako napríklad výslovná žiadosť osoby, ktorej bolo elektronické osvedčenie atribútov vydané, alebo ak je poskytovateľovi známe, že došlo k narušeniu bezpečnosti alebo dôveryhodnosti kvalifikovaných elektronických osvedčení atribútov, alebo ak sa to vyžaduje v právnych predpisoch Únie alebo vo vnútroštátnych právnych predpisoch, by mali viesť k zrušeniu elektronického osvedčenia atribútov zo strany poskytovateľa. S cieľom zabezpečiť základné práva na súkromie a ochranu údajov používateľa, najmä vhodným minimalizovaním rizík prepojiteľnosti a vysledovateľnosti, by poskytovatelia kvalifikovaných elektronických osvedčení atribútov a elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene mali stanoviť politiky riadenia zrušenia, ktoré zachovávajú súkromie. |
|
(6) |
V záujme uľahčenia spolupráce medzi členskými štátmi a vytvorenia bezpečného a interoperabilného ekosystému digitálnej identity vrátane cezhraničného uznávania a interoperability kvalifikovaných elektronických osvedčení atribútov a elektronických osvedčení atribútov poskytovaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene je potrebné zaviesť zjednodušené administratívne komunikačné postupy medzi príslušnými zainteresovanými stranami, a to vrátane uverejňovania informácií na rýchlu identifikáciu príslušných subjektov verejného sektora. Členské štáty by mali oznámiť príslušné atribúty Komisii. Na zabezpečenie včasného, účinného a interoperabilného overovania týchto atribútov by preto príslušné oznámenia Komisii mali byť aspoň v angličtine, pretože to uľahčuje ich širokú dostupnosť, posúdenie a pochopenie a zároveň zlepšuje spoluprácu medzi príslušnými zainteresovanými stranami. Preklad už existujúcej dokumentácie by však nemal spôsobiť neprimeranú administratívnu ani finančnú záťaž. |
|
(7) |
S cieľom umožniť používateľom a poskytovateľom služieb overiť, či elektronické osvedčenia atribútov vydané subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene boli skutočne vydané daným subjektom verejného sektora alebo v jeho mene, by členské štáty mali oznámiť dané subjekty verejného sektora Komisii. Pri oznamovaní subjektom verejného sektora, ktoré vydávajú elektronické osvedčenia atribútov v súlade s článkom 45f a prílohou VII k nariadeniu (EÚ) č. 910/2014, majú členské štáty poskytnúť správu o posúdení zhody potvrdzujúcu úroveň spoľahlivosti a dôveryhodnosti rovnocennú s kvalifikovanými poskytovateľmi dôveryhodných služieb. Na rozdiel od kvalifikovaných poskytovateľov dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenia atribútov, je však v prípade týchto subjektov verejného sektora na členských štátoch, ako zabezpečia, aby poskytovatelia časom spĺňali požiadavky. V záujme zachovania vysokej úrovne dôvery v osvedčenia verejného sektora v celej Únii sa preto členské štáty vyzývajú, aby sa prostredníctvom skupiny pre európsku spoluprácu v oblasti digitálnej identity zriadenej podľa článku 46e ods. 1 nariadenia (EÚ) č. 910/2014 (ďalej len „skupina pre spoluprácu“) zdieľali svoje najlepšie postupy o tom, ako zabezpečujú trvalú spoľahlivosť a dôveryhodnosť. Komisia by mala vytvoriť, viesť a zverejniť zoznam poskytovateľov a zabezpečiť, aby bol tento zoznam ľahko prístupný verejnosti. |
|
(8) |
Komisia by mala s pomocou skupiny pre spoluprácu vytvoriť katalóg atribútov s cieľom uľahčiť overovanie atribútov na základe autentických zdrojov kvalifikovanými poskytovateľmi dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenia atribútov. Registrácia v katalógu atribútov by mala byť povinná pre atribúty uvedené v prílohe VI k nariadeniu (EÚ) č. 910/2014. V prípade ostatných atribútov by bola registrácia nepovinná. |
|
(9) |
Komisia by mala s pomocou skupiny pre spoluprácu vytvoriť katalóg schém osvedčovania atribútov s cieľom uľahčiť vydávanie osvedčení kvalifikovanými poskytovateľmi dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenia atribútov, a poskytovateľmi elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene a uľahčiť harmonizáciu a cezhraničnú interoperabilitu týchto osvedčení. Registrácia schém v katalógu schém by mala byť nepovinná. Žiadosti o registráciu alebo zmeny v katalógu by mal podávať vlastník schémy osvedčovania atribútov a môžu zahŕňať atribúty, ktoré nie sú uvedené v katalógu atribútov. Komisia by mala tieto žiadosti posúdiť s prihliadnutím na potreby interoperability a harmonizácie. |
|
(10) |
Aby katalóg atribútov poskytoval zmysluplné informácie a dosiahol vysokú úroveň interoperability v rámci ekosystému elektronických osvedčení atribútov, mal by poskytovať aspoň minimálny súbor informácií, ako je sémantický opis atribútu, priestor názvov jeho identifikátora a dátový typ atribútu. Na ten istý účel by mal katalóg schém osvedčovania atribútov obsahovať opisy bežných typov elektronických osvedčení atribútov a opis modelu dôvery a mechanizmov riadenia uplatňovaných v rámci schémy osvedčovania. Informácie obsiahnuté v katalógoch by mali zahŕňať verzie atribútov a schém, aby na osvedčenia vydané podľa konkrétnych verzií nemali vplyv zmeny týchto atribútov a schém. |
|
(11) |
S cieľom zabezpečiť účinnosť overovania atribútov na základe autentických zdrojov kvalifikovanými poskytovateľmi dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenia atribútov, a to aj prostredníctvom určených sprostredkovateľov, ktorí poskytovateľom služieb poskytujú nepriame mechanizmy overovania, by členské štáty mali v lehote stanovenej v článku 45e ods. 1 nariadenia (EÚ) č. 910/2014 zaviesť mechanizmy, ktoré umožnia kvalifikovaným poskytovateľom dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenia atribútov, požiadať o overenie atribútov. Mechanizmy by mali umožniť kvalifikovaným poskytovateľom dôveryhodných služieb vydávajúcim kvalifikované elektronické osvedčenia atribútov určiť, ktoré atribúty možno overiť a ako ich overiť. Tieto mechanizmy by mali obsahovať podrobnosti o prístupových bodoch a servisných protokoloch na kontrolu platnosti a presnosti atribútov a mala by sa v rámci nich zvážiť možnosť ponuky jednotného overovacieho bodu na vnútroštátnej úrovni. |
|
(12) |
Konkrétnejšie by členské štáty mali kvalifikovaným poskytovateľom dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenia atribútov, sprístupniť mechanizmy na prístup k overovacím bodom a ich používanie pre každý z atribútov uvedených v prílohe VI k uvedenému nariadeniu (EÚ) č. 910/2014 na vnútroštátnej úrovni. Tieto mechanizmy by mali umožniť kvalifikovaným poskytovateľom dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenia atribútov, aby na žiadosť používateľa predložili osobitné atribúty overovaciemu bodu na účely vydania osvedčenia a počas jeho životnosti. V rámci mechanizmov overovania by sa mali využívať elektronické prostriedky vhodné na automatické spracovanie a na čo najrýchlejšie získanie odpovedí z overovacieho bodu. Touto odpoveďou by sa malo potvrdiť, či atribúty predložené kvalifikovanými poskytovateľmi dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenia atribútov, zodpovedajú atribútom uloženým v súvislosti s daným používateľom v príslušnom autentickom zdroji, a mal by sa špecifikovať autentický zdroj, na základe ktorého sa overenie vykonalo. S cieľom predísť nesprávnemu konaniu, ako sú nezákonné alebo zjavne neprimerané žiadosti o overenie, môžu členské štáty zaviesť kontrolné mechanizmy na používanie overovacích bodov, ak to považujú za vhodné, pričom zohľadnia príslušné faktory vrátane toho, či autentické zdroje obsahujú informácie, ktoré by sa mali považovať za osobné údaje alebo ktoré majú inak dôvernú alebo citlivú povahu podľa právnych predpisov Únie alebo vnútroštátnych právnych predpisov. |
|
(13) |
V súlade so zásadami stanovenými v akte o interoperabilnej Európe (4) a s cieľom uľahčiť vytvorenie katalógu atribútov a katalógu schém osvedčovania atribútov a v čo najväčšej miere opätovne použiť existujúce katalógy, schémy a informácie, by Komisia mala v prípade potreby využiť synergie so spoločnými službami technického systému podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1724 o zriadení jednotnej digitálnej brány a o zmene nariadenia (EÚ) č. 1024/2012 (5). |
|
(14) |
S cieľom zvýšiť interoperabilitu elektronických osvedčení atribútov vydávaných nekvalifikovanými poskytovateľmi dôveryhodných služieb môžu vydavatelia osvedčení dodržiavať zásady a požiadavky stanovené v tomto nariadení, pokiaľ ide o nekvalifikované elektronické osvedčenia atribútov. |
|
(15) |
Na činnosti spracúvania osobných údajov podľa tohto nariadenia sa vzťahuje nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (6) a v relevantných prípadoch smernica Európskeho parlamentu a Rady 2002/58/ES (7). |
|
(16) |
S cieľom poskytnúť Komisii a členským štátom dostatok času na zostavenie zoznamu poskytovateľov elektronických osvedčení atribútov vydávaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene by sa požiadavky stanovené v tomto nariadení týkajúce sa katalógu atribútov, katalógu schém osvedčovania atribútov a overovacích bodov atribútov mali začať uplatňovať 12 mesiacov po nadobudnutí účinnosti tohto nariadenia. |
|
(17) |
V súlade s článkom 42 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (8) sa konzultovalo s európskym dozorným úradníkom pre ochranu údajov, ktorý vydal 31. januára 2025 svoje stanovisko. |
|
(18) |
Opatrenia prijaté v tomto nariadení sú v súlade so stanoviskom výboru zriadeného podľa článku 48 nariadenia (EÚ) č. 910/2014, |
PRIJALA TOTO NARIADENIE:
Článok 1
Predmet úpravy a rozsah pôsobnosti
Týmto nariadením sa stanovujú referenčné normy, špecifikácie a postupy, ktoré sa majú pravidelne aktualizovať, aby boli v súlade s vývojom technológií a noriem a s prácou vykonanou na základe odporúčania (EÚ) 2021/946, a najmä s architektúrou a referenčným rámcom, a ktoré sa týkajú:
|
1. |
kvalifikovaných elektronických osvedčení atribútov; |
|
2. |
elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene; |
|
3. |
zoznamu poskytovateľov elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene; |
|
4. |
katalógu atribútov a katalógu schém osvedčovania atribútov uvedených v bodoch 1 a 2; |
|
5. |
overovania atribútov s odkazom na autentické zdroje alebo určených sprostredkovateľov. |
Článok 2
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:
|
1. |
„jednotka peňaženky“ je jedinečná konfigurácia riešenia peňaženky, ktorá zahŕňa inštancie peňaženky, zabezpečené kryptografické aplikácie peňaženky a zabezpečené kryptografické zariadenia peňaženky, ktoré poskytovateľ peňaženky poskytuje jednotlivým používateľom peňaženky; |
|
2. |
„používateľ peňaženky“ je používateľ, ktorý má kontrolu nad jednotkou peňaženky; |
|
3. |
„katalóg atribútov“ je digitálne úložisko atribútov, ktoré spravuje Komisia a uverejňuje ho online; |
|
4. |
„schéma osvedčovania atribútov“ je súbor pravidiel uplatniteľných na jeden alebo viacero typov elektronického osvedčenia atribútov; |
|
5. |
„typ elektronického osvedčenia atribútov“ je špecificky pomenovaná a sémanticky opísaná skupina elektronického osvedčenia atribútov; |
|
6. |
„katalóg schém osvedčovania atribútov“ je digitálne úložisko, ktoré obsahuje zoznam schém osvedčovania atribútov zaregistrovaných v súlade s týmto nariadením a ktoré spravuje Komisia [a uverejňuje ho online]; |
|
7. |
„riešenie peňaženky“ je kombinácia softvéru, hardvéru, služieb, nastavení a konfigurácií vrátane inštancií peňaženky, jednej alebo viacerých zabezpečených kryptografických aplikácií peňaženky a jedného alebo viacerých zabezpečených kryptografických zariadení peňaženky; |
|
8. |
„inštancia peňaženky“ je aplikácia nainštalovaná a nakonfigurovaná v zariadení alebo prostredí používateľa peňaženky, ktorá je súčasťou jednotky peňaženky a ktorú používateľ peňaženky používa na interakciu s jednotkou peňaženky; |
|
9. |
„zabezpečená kryptografická aplikácia peňaženky“ je aplikácia, ktorá spravuje kritické aktíva tak, že je prepojená s kryptografickými a nekryptografickými funkciami poskytovanými zabezpečeným kryptografickým zariadením peňaženky a tieto funkcie využíva; |
|
10. |
„zabezpečené kryptografické zariadenie peňaženky“ je zariadenie odolné voči neoprávnenej manipulácii, poskytujúce prostredie, ktoré je prepojené so zabezpečenou kryptografickou aplikáciou peňaženky a ktoré zabezpečená kryptografická aplikácia peňaženky využíva na ochranu kritických aktív a poskytovanie kryptografických funkcií na účely bezpečného vykonávania kritických operácií; |
|
11. |
„poskytovateľ peňaženky“ je fyzická alebo právnická osoba, ktorá poskytuje riešenia peňaženky; |
|
12. |
„kritické aktíva“ sú aktíva v rámci jednotky peňaženky alebo v súvislosti s ňou, ktoré majú taký mimoriadny význam, že narušenie ich dostupnosti, dôvernosti alebo integrity by malo veľmi vážny, oslabujúci účinok na schopnosť spoliehať sa na jednotku peňaženky; |
|
13. |
„vlastník schémy osvedčovania atribútov“ je subjekt zodpovedný za vytvorenie a udržiavanie schémy osvedčovania atribútov. |
Článok 3
Vydávanie kvalifikovaných elektronických osvedčení atribútov a elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene
1. Poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene musia dodržiavať zoznam referenčných noriem a špecifikácií stanovený v prílohe I a zabezpečiť, aby elektronické osvedčenia atribútov, ktoré vydávajú, spĺňali technické špecifikácie stanovené v prílohe II.
2. Ak poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene vydávajú elektronické osvedčenia atribútov, ktoré sú zahrnuté do schém zaregistrovaných v katalógu schém osvedčovania atribútov, musia spĺňať požiadavky príslušnej schémy osvedčovania atribútov. Súčasťou posudzovania zhody stanoveného v nariadení (EÚ) č. 910/2014 sú politiky a postupy zavedené vydavateľmi osvedčení s cieľom zabezpečiť súlad s požiadavkami schém osvedčovania atribútov.
Článok 4
Zrušenie kvalifikovaných elektronických osvedčení atribútov a elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene
1. Poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene musia mať písomné a verejne prístupné politiky týkajúce sa riadenia stavu platnosti alebo zrušenia. Tieto politiky v prípade potreby zahŕňajú podmienky, za ktorých možno elektronické osvedčenia atribútov bezodkladne zrušiť, a opatrenia na zabezpečenie dostupnosti informácií o stave platnosti.
2. Poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene sú jedinými subjektmi, ktoré môžu zrušiť nimi vydané elektronické osvedčenia atribútov.
3. Poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene vždy, keď sú tieto osvedčenia vydané s obdobím platnosti dlhším ako 24 hodín, ich zrušia aspoň za týchto okolností:
|
a) |
na výslovnú žiadosť osoby, ktorej bolo elektronické osvedčenie atribútov vydané alebo prípadne subjektu osvedčovania; |
|
b) |
ak je poskytovateľovi známe, že došlo k ohrozeniu bezpečnosti alebo dôveryhodnosti kvalifikovaných elektronických osvedčení atribútov alebo elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene; |
|
c) |
v iných situáciách, ktoré sa vyžadujú v právnych predpisoch Únie alebo vo vnútroštátnych právnych predpisoch alebo ktoré určia poskytovatelia vo svojich politikách, ako sa uvádza v odseku 1. |
4. Poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene vytvoria techniky zrušenia a metódy riadenia, ktoré zachovávajú súkromie a bránia prepojiteľnosti alebo vysledovateľnosti.
5. Poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene sprístupnia spoliehajúcim sa stranám informácie o platnosti alebo stave zrušenia elektronických osvedčení atribútov, ktoré vydali, spôsobom, ktorý zabezpečuje integritu a pravosť týchto informácií.
Článok 5
Oznámenie subjektov verejného sektora
1. Členské štáty predložia aspoň informácie uvedené v prílohe III o subjektoch verejného sektora, ako sa uvádza v článku 45f ods. 3 nariadenia (EÚ) č. 910/2014, prostredníctvom systému bezpečných elektronických oznámení, ktorý poskytne Komisia.
2. Členské štáty oznámia všetky zmeny oznámených informácií.
3. Členské štáty podávajú oznámenia aspoň v anglickom jazyku. Členské štáty nie sú povinné prekladať žiadne dokumenty podporujúce oznámenia, ak by to predstavovalo neprimeranú administratívnu alebo finančnú záťaž.
4. Komisia môže v prípade potreby požiadať členské štáty o poskytnutie dodatočných informácií.
Článok 6
Uverejnenie zoznamu subjektov verejného sektora
1. Komisia na základe informácií oznámených členskými štátmi podľa článku 5 vytvára, vedie a uverejňuje zoznam poskytovateľov elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene.
2. Komisia zabezpečí, aby bol zoznam uvedený v odseku 1 prístupný:
|
a) |
v elektronicky podpísanej alebo zapečatenej forme vhodnej na automatizované spracovanie a aj prostredníctvom webového sídla čitateľného ľudským okom; |
|
b) |
bez potreby registrácie alebo autentifikácie; |
|
c) |
len pomocou najmodernejšieho zabezpečenia prenosovej vrstvy. |
3. Komisia uverejňuje prostredníctvom zabezpečeného kanála a bez zbytočného odkladu:
|
a) |
technické špecifikácie zoznamu; |
|
b) |
podrobnosti o adrese URL, na ktorej sa zoznam uverejňuje; |
|
c) |
certifikáty, ktoré sa majú použiť na overenie elektronického podpisu alebo pečate v zozname; |
|
d) |
podrobnosti týkajúce sa mechanizmov používaných na validáciu budúcich zmien umiestnenia alebo certifikátov uvedených v písmenách b) a c). |
Článok 7
Vytvorenie a údržba katalógu atribútov
1. Komisia vytvorí a uverejní katalóg atribútov a zriadi bezpečný systém, aby umožnila podávanie žiadostí o začlenenie atribútov do katalógu atribútov alebo o zmenu atribútov v tomto katalógu.
2. Komisia po zvážení všetkých odporúčaní, ktoré poskytla skupina pre spoluprácu, posúdi žiadosti o začlenenie atribútu do katalógu atribútov alebo o zmenu atribútu v tomto katalógu podané prostredníctvom systému uvedeného v odseku 1. Komisia pri posúdení zohľadní, či začlenenie atribútu prispieva k spoločnému základu pre bezpečnú a súkromie nenarúšajúcu elektronickú interakciu medzi občanmi, podnikmi a verejnými orgánmi a k podpore interoperability. Komisia v príslušných prípadoch zohľadní aj odvetvové predpisy.
3. Členské štáty požiadajú o začlenenie atribútov uvedených v prílohe VI k nariadeniu (EÚ) č. 910/2014 do katalógu atribútov vždy, keď sa tieto atribúty spoliehajú na autentické zdroje na účel overovania kvalifikovanými poskytovateľmi dôveryhodných služieb.
4. Členské štáty môžu okrem toho požiadať o začlenenie atribútov, ktoré nie sú uvedené v prílohe VI, do katalógu atribútov vždy, keď sa tieto atribúty spoliehajú na autentické zdroje v rámci verejného sektora. Súkromné subjekty, ktoré sa považujú za primárny zdroj informácií alebo sú uznané za pravé v súlade s právnymi predpismi Únie alebo vnútroštátnymi právnymi predpismi vrátane administratívnej praxe, požiadať o začlenenie atribútov, ktoré nie sú uvedené v prílohe VI, do katalógu atribútov vždy, keď je žiadajúci subjekt za tieto atribúty zodpovedný.
5. Žiadosť o začlenenie atribútu do katalógu alebo o zmenu atribútu v tomto katalógu musí obsahovať aspoň tieto informácie:
|
a) |
identifikácia subjektu, ktorý žiadosť podáva; |
|
b) |
v príslušnom prípade odkaz na právne predpisy Únie alebo vnútroštátne právne predpisy alebo administratívnu prax, podľa ktorých sa subjekt, ktorý podal žiadosť, považuje za primárny zdroj informácií alebo uznaný autentický zdroj; |
|
c) |
či sa žiadosť vzťahuje na atribút, ktorý už v katalógu existuje, alebo ide o nový atribút; |
|
d) |
priestor názvov pre identifikátor atribútov, ktorého hodnota je jedinečná v rámci katalógu atribútov; |
|
e) |
identifikátor atribútu jedinečný v rámci priestoru názvov a verzia atribútu; |
|
f) |
sémantický opis atribútu; |
|
g) |
dátový typ atribútu; |
|
h) |
overovací bod pre atribút na vnútroštátnej úrovni alebo odkaz na opis spôsobu iniciovania žiadostí o overenie. |
6. Žiadosť o začlenenie alebo zmenu atribútu žiadateľ podpíše alebo zapečatí kvalifikovaným elektronickým podpisom alebo pečaťou alebo zdokonaleným elektronickým podpisom alebo pečaťou založenými na kvalifikovanom certifikáte.
7. Komisia po posúdení uvedenom v odseku 2 a po overení, že informácie poskytnuté v žiadosti o začlenenie alebo zmenu atribútu obsahujú všetky informácie uvedené v odseku 5, môže začleniť požadovaný atribút alebo zmenu do katalógu atribútov.
8. Katalóg atribútov zapečatený Komisiou je verejne prístupný prostredníctvom zabezpečeného kanála, bezplatne a bez predchádzajúcej identifikácie alebo autentifikácie a uverejňuje sa v strojovo čitateľnom formáte aj vo formáte čitateľnom ľudským okom. Katalóg obsahuje aj funkciu vyhľadávania.
9. Komisia uverejní technické špecifikácie, ktoré používa pre katalóg atribútov.
10. Komisia vydá každému registrovanému atribútu jedinečný identifikátor.
Článok 8
Vytváranie a údržba katalógu schém osvedčovania atribútov
1. Komisia vytvorí a uverejní katalóg schém osvedčovania atribútov a zriadi bezpečný systém, ktorý umožní podávanie žiadostí o začlenenie schém osvedčovania atribútov do katalógu schém osvedčovania atribútov alebo o zmenu týchto schém v uvedenom katalógu.
2. Žiadosti o začlenenie schém osvedčovania atribútov do katalógu schém osvedčovania atribútov alebo o zmenu týchto schém v uvedenom katalógu posudzuje Komisia po zvážení všetkých odporúčaní, ktoré poskytla skupina pre spoluprácu. Komisia pri posúdení zohľadní, či schéma prispieva k spoločnému základu pre bezpečnú a súkromie nenarúšajúcu elektronickú interakciu medzi občanmi, podnikmi a verejnými orgánmi a k podpore interoperability. Komisia v príslušných prípadoch zohľadní aj odvetvové predpisy.
3. Vlastníci schémy osvedčovania atribútov môžu požiadať o pridanie schém do katalógu schém. Žiadosť o začlenenie schémy do katalógu schém osvedčovania atribútov alebo o zmenu schémy v tomto katalógu obsahuje aspoň:
|
a) |
názov schémy, ktorý si zvolil vlastník schémy osvedčovania atribútov a ktorý je jedinečný v rámci katalógu schém osvedčovania atribútov; |
|
b) |
názov a kontaktné údaje vlastníka schémy osvedčovania atribútov; |
|
c) |
stav a verziu schémy; |
|
d) |
odkaz na osobitné právne predpisy, normy alebo usmernenia, ak sa vzťahujú na vydávanie, validáciu alebo používanie elektronického osvedčenia atribútov v rozsahu pôsobnosti schémy; |
|
e) |
formát alebo formáty elektronického osvedčenia atribútov v rámci rozsahu pôsobnosti schémy; |
|
f) |
jeden alebo viacero priestorov názvov, identifikátory atribútov, sémantické opisy a dátové typy každého atribútu, ktorý je súčasťou elektronického osvedčenia atribútov v rozsahu pôsobnosti schémy, a to buď odkazom na atribút v katalógu atribútov v článku 7, alebo na atribút vymedzený analogickým spôsobom v rozsahu pôsobnosti schémy; |
|
g) |
opis modelu dôvery a mechanizmov riadenia uplatňovaných v rámci schémy vrátane mechanizmov zrušenia; |
|
h) |
všetky požiadavky týkajúce sa poskytovateľov elektronických osvedčení atribútov alebo zdrojov informácií, na ktoré sa títo poskytovatelia spoliehajú pri vydávaní elektronických osvedčení atribútov, vrátane prípadných autentických zdrojov; |
|
i) |
vyhlásenie, či sa elektronické osvedčenia atribútov v rámci rozsahu pôsobnosti schémy majú vydávať ako kvalifikované elektronické osvedčenia atribútov, ako elektronické osvedčenia atribútov vydané subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene alebo v oboch podobách. |
4. Schémy, pre ktoré sa požaduje začlenenie do katalógu, obsahujú len atribúty, ktoré sú identifikovateľné na základe jedinečných identifikátorov. Žiadosť o začlenenie alebo zmenu schémy osvedčovania atribútov žiadateľ podpíše alebo zapečatí kvalifikovaným elektronickým podpisom alebo pečaťou alebo zdokonaleným elektronickým podpisom alebo pečaťou založenými na kvalifikovanom certifikáte.
5. Komisia po posúdení uvedenom v odseku 2 a po overení, že informácie uvedené v žiadosti o začlenenie alebo zmenu schémy osvedčovania obsahujú všetky informácie uvedené v odsekoch 3 a 4, môže požadovanú schému alebo zmenu začleniť do katalógu schém osvedčovania atribútov.
6. Katalóg schém osvedčovania atribútov zapečatený Komisiou je verejne prístupný prostredníctvom zabezpečeného kanála, bezplatne a bez predchádzajúcej identifikácie alebo autentifikácie a je strojovo čitateľný a čitateľný ľudským okom. Katalóg obsahuje aj funkciu vyhľadávania a je vo formáte, ktorý zaručuje integritu a pravosť.
7. Komisia uverejní technické špecifikácie, ktoré používa pre katalóg schém osvedčovania atribútov.
8. Komisia vydá každej registrovanej schéme jedinečný identifikátor na osvedčovanie atribútov.
Článok 9
Overovanie atribútov na základe autentických zdrojov alebo určených sprostredkovateľov
1. S cieľom umožniť elektronické overovanie atribútov uvedených v článku 45e ods. 1 nariadenia (EÚ) č. 910/2014 kvalifikovanými poskytovateľmi dôveryhodných služieb, ktorí na žiadosť používateľa vydávajú kvalifikované elektronické osvedčenia atribútov, členské štáty vytvoria mechanizmy, ktoré toto overovanie umožnia, a môžu sprístupniť jednotné body overovania atribútov uvedených v prílohe VI k uvedenému nariadeniu vždy, keď sa tieto atribúty spoliehajú na autentické zdroje v rámci verejného sektora. Členské štáty uverejnia informácie o postupoch na podávanie žiadostí o overenie a na prijímanie výsledkov overenia.
2. Mechanizmus overovania poskytuje prístupový bod, kde môžu kvalifikovaní poskytovatelia dôveryhodných služieb vydávajúci kvalifikované elektronické osvedčenia atribútov elektronicky požiadať o overenie atribútov uvedených v článku 45e ods. 1 nariadenia (EÚ) č. 910/2014 na základe autentických zdrojov alebo prostredníctvom určených sprostredkovateľov uznaných na vnútroštátnej úrovni. Atribúty, ktoré podliehajú overovaniu, poskytne kvalifikovaný poskytovateľ dôveryhodných služieb overovaciemu bodu na žiadosť používateľa. Subjekt verejného sektora alebo určený sprostredkovateľ prostredníctvom overovacieho bodu zdieľa výsledky overovania s kvalifikovanými poskytovateľmi dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenia atribútov.
3. V žiadosti o overenie sa uvedú atribúty a identifikačné údaje subjektu atribútu, pre ktorý kvalifikovaný poskytovateľ dôveryhodných služieb žiada overenie.
4. Vo výsledku overenia sa výlučne uvedie, či atribút bol alebo nebol overený, a uvedie sa subjekt verejného sektora zodpovedný za autentický zdroj alebo prípadne subjekt verejného sektora určený na konanie v mene autentického zdroja na základe ktorého bol atribút overený.
5. Členské štáty môžu zaviesť kontroly prístupu alebo iné mechanizmy overovania, ktoré zabezpečujú integritu, pravosť a dôvernosť, s cieľom určiť, že žiadateľ je kvalifikovaný poskytovateľ dôveryhodných služieb a koná na žiadosť oprávneného používateľa. Členské štáty môžu takisto zaviesť kontrolné mechanizmy na používanie metód overovania, ak to považujú za vhodné, pričom zohľadnia príslušné faktory vrátane toho, či autentické zdroje obsahujú osobné dôverné alebo citlivé údaje. Ak členské štáty zavedú tieto kontrolné mechanizmy, zverejnia informácie o rozsahu kontrolných mechanizmov ako súčasť informácií uvedených v odseku 1.
Článok 10
Interoperabilita a opätovné použitie
1. Na účely článkov 3 až 9 môžu členské štáty odkazovať na spoločné služby technického systému uvedené v článku 14 nariadenia (EÚ) 2018/1724, ako aj na vnútroštátne zložky, ktoré sú s nimi spojené, a opätovne ich používať.
2. Pri vytváraní systému bezpečných oznámení a zoznamu subjektov verejného sektora uvedeného v článkoch 5 a 6 a katalógov uvedených v článkoch 7 a 8 tohto nariadenia Európska komisia odkazuje na spoločné služby technického systému podľa nariadenia (EÚ) 2018/1724 a v prípade potreby ich opätovne využíva.
Článok 11
Nadobudnutie účinnosti a uplatňovanie
Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.
Články 6 až 9 sa uplatňujú od 19. augusta 2026.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 29. júla 2025
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Ú. v. EÚ L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(3) Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1183 z 11. apríla 2024, ktorým sa mení nariadenie (EÚ) č. 910/2014, pokiaľ ide o zriadenie európskeho rámca digitálnej identity (Ú. v. EÚ L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/903 z 13. marca 2024, ktorým sa stanovujú opatrenia na zabezpečenie vysokej úrovne interoperability verejného sektora v celej Únii (akt o interoperabilnej Európe) (Ú. v. EÚ L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).
(5) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1724 z 2. októbra 2018 o zriadení jednotnej digitálnej brány na poskytovanie prístupu k informáciám, postupom a asistenčným službám a službám riešenia problémov a o zmene nariadenia (EÚ) č. 1024/2012 (Ú. v. EÚ L 295, 21.11.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).
(6) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(7) Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. EÚ L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
PRÍLOHA I
Zoznam referenčných noriem a špecifikácií uvedených v článku 3
Poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene vydávajú svoje osvedčenia fyzickým alebo právnickým osobám podľa špecifikácií pre poskytovateľov dôveryhodných služieb stanovených v norme ETSI EN 319 401 v3.1.1 (2024-06) (ďalej len „ETSI EN 319 401“).
PRÍLOHA II
Technické špecifikácie na vydávanie kvalifikovaných elektronických osvedčení atribútov a elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene, ako sa uvádza v článku 3
|
1. |
Poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene vydávajú svoje osvedčenia vo formáte podľa jednej z noriem uvedených v prílohe II k vykonávaciemu nariadeniu Komisie (EÚ) 2024/2979 (1). |
|
2. |
Na vydávanie osvedčení fyzickým alebo právnickým osobám poskytovatelia kvalifikovaných elektronických osvedčení atribútov a poskytovatelia elektronických osvedčení atribútov vydaných subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene:
|
|
3. |
Okrem toho ak sa osvedčenie vydáva pre európsku peňaženku digitálnej identity, poskytovateľ osvedčenia:
|
(1) Vykonávacie nariadenie Komisie (EÚ) 2024/2979 z 28. novembra 2024, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014, pokiaľ ide o integritu a základné funkcie európskych peňaženiek digitálnej identity (Ú. v. EÚ L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
PRÍLOHA III
Oznámenia uvedené v článku 5
Členské štáty oznámia Komisii aspoň:
|
1. |
názov subjektu verejného sektora a prípadne registračné číslo používané v úradných záznamoch; členský štát, v ktorom je subjekt verejného sektora usadený; právne predpisy Únie alebo vnútroštátne právne predpisy, podľa ktorých je subjekt verejného sektora zriadený ako zodpovedný za autentický zdroj, na základe ktorého sa vydáva elektronické osvedčenie atribútov, alebo je určený konať v mene subjektu verejného sektora, ktorý je zodpovedný za autentický zdroj; |
|
2. |
kontaktný e-mail a telefónne číslo subjektu verejného sektora; |
|
3. |
adresu URL webovej stránky, na ktorej sa nachádzajú ďalšie informácie o subjekte verejného sektora; |
|
4. |
správu o posúdení zhody podľa článku 45f ods. 3 nariadenia (EÚ) č. 910/2014. |
ELI: http://data.europa.eu/eli/reg_impl/2025/1569/oj
ISSN 1977-0790 (electronic edition)